多許可證折扣報價
威脅數據庫 後門 SlowStepper 後門惡意軟體

SlowStepper 後門惡意軟體

後門, 進階持續性威脅 (APT)Mezo
翻譯為:
漢語

2023 年,在對韓國 VPN 提供者發動複雜的供應鏈攻擊後,先前未記錄的與中國結盟的高級持續威脅 (APT) 組織 PlushDaemon 出現在網路安全雷達上。這次攻擊涉及用受損版本替換合法安裝程序,並部署其簽名植入程序 SlowStepper。

SlowStepper:PlushDaemon 軍械庫中的多功能後門

PlushDaemon 操作的核心是 SlowStepper,這是一個功能豐富的後門,擁有超過 30 個組件的工具包。這個後門是用 C++、Python 和 Go 編寫的,是該組織進行間諜和入侵的主要工具。 SlowStepper 至少從 2019 年就開始開發,透過多次迭代不斷發展,最新版本於 2024 年 6 月編譯。

被劫持的頻道:初始訪問的關鍵

PlushDaemon的攻擊策略經常利用Web伺服器中的漏洞並劫持合法的軟體更新通道。該組織透過將不安全程式碼嵌入到透過「ipany.kr」網站分發的 VPN 軟體的 NSIS 安裝程式中來獲得初步存取權。受感染的安裝程式同時提供了合法軟體和 SlowStepper 後門。

目標範圍和受害者學

該攻擊可能會影響任何下載誘殺安裝程式的實體。有證據顯示,有人試圖在與韓國半導體公司和身份不明的軟體開發商相關的網路中安裝受感染的軟體。 2023 年底,日本和中國發現了首批受害者,反映出該組織的影響範圍廣泛。

複雜的攻擊鏈:SlowStepper 的部署

攻擊從執行安裝程式(“IPanyVPNsetup.exe”)開始,它會設定持久性並啟動載入程式(“AutoMsg.dll”)。此載入程式啟動 shellcode 執行,使用「PerfWatson.exe」等合法工具擷取和旁載入不安全的 DLL 檔案。最後階段涉及從無害的命名檔案(「winlogin.gif」)部署 SlowStepper。

縮小版:SlowStepper Lite

研究人員發現了活動中使用的 SlowStepper 的「Lite」變體,其中包含的功能比完整版本少。儘管如此,它仍然保留了重要的功能,可以透過中國程式碼儲存庫 GitCode 上託管的工具實現全面的監視和資料收集。

命令與控制:多階段方法

SlowStepper 採用強大的多層命令與控制 (C&C) 協定。它首先向 DNS 伺服器查詢 TXT 記錄,以取得用於通訊的 IP 位址。如果失敗,它將恢復到輔助方法,使用 API 來解析後備域。

大規模間諜活動:SlowStepper 的模組化功能

SlowStepper 後門配備了多種用於收集資訊的工具,使其能夠從以下位置收集資料:

  • 受歡迎的 Web 瀏覽器 - Google Chrome、Microsoft Edge、Opera、Brave、Vivaldi、Cốc Cốc 瀏覽器、UC 瀏覽器、360 瀏覽器和 Mozilla Firefox
  • 捕捉影像並記錄螢幕。
  • 收集敏感文件和應用程式資料 - txt、.doc、.docx、.xls、.xlsx、.ppt 和 .pptx,以及來自 LetsVPN、騰訊 QQ、微信、金山 WPS、e2eSoft VCam、酷狗等應用程式的信息歐瑞向日葵、ToDesk。
  • 抓取釘釘平台的聊天訊息。
  • 檢索無害的 Python 套件。
  • FileScanner 和 FileScannerAllDisk 分析系統以定位檔案。
  • getOperaCookie 從 Opera 瀏覽器中擷取 cookie。
  • 位置標識計算機的 IP 位址和 GPS 座標。
  • qpass從騰訊QQ瀏覽器收集信息,可用qqpass模組代替。
  • qqpass和Webpass,收集各種瀏覽器的密碼,包括Google Chrome、Mozilla Firefox、騰訊QQ瀏覽器、360 Chrome和UC瀏覽器。
  • ScreenRecord 擷取螢幕錄影。
  • Telegram 從 Telegram 提取資訊。
  • 微信從微信平台檢索資料。
  • WirelessKey 收集無線網路詳細資訊和相關密碼。

獨特的功能包括啟動自訂 shell 來執行遠端有效負載和用於特定任務的 Python 模組。

關注間諜活動和資料竊取

此後門的模組化設計可以實現有針對性的資料收集,例如來自釘釘和微信的聊天訊息、瀏覽器密碼和系統位置資料。其他工具支援反向代理功能和檔案下載,從而增強其間諜能力。

日益嚴重的威脅:PlushDaemon 的演變

PlushDaemon 廣泛的工具集及其對持續開發的承諾使其成為一個強大的實體。該組織自 2019 年以來的營運凸顯了其對創建複雜工具的明確關注,將其定位為網路安全領域的重大威脅。

結論:對新出現的威脅保持警惕

PlushDaemon 的供應鏈攻擊和先進功能凸顯了網路安全社群保持警覺的重要性。透過瞄準受信任的軟體分發管道,該組織已經證明了其滲透網路和執行複雜間諜活動的能力。

熱門

Protocolsafe.co.in

流氓網站, 廣告軟體, 瀏覽器劫持者
在網路威脅不斷演變的時代,用戶在瀏覽網路時必須保持警惕。詐騙網站經常採用欺騙策略來操縱訪客允許侵入性廣告或洩露敏感資訊。其中一個流氓平台是 Protocolsafe.co.in,它已被確定為不可信頁面,旨在利用毫無戒心的用戶。了解網站的運作方式並識別其警訊對於保障個人線上安全至關重要。 Protocolsafe.co.in 的欺騙性 網路安全研究人員分析了...

最受關注

Discord 卡在灰色屏幕上

問題
71,587
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
65,425
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

如何修復“打印機驅動程序不可用”錯誤

問題
63,079
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
加載中...