SlowStepper Backdoor-Malware
Im Jahr 2023 tauchte PlushDaemon, eine bislang undokumentierte, mit China verbündete Advanced Persistent Threat (APT)-Gruppe, auf dem Radar der Cybersicherheit auf, nachdem sie einen ausgeklügelten Supply-Chain-Angriff auf einen südkoreanischen VPN-Anbieter durchgeführt hatte. Bei diesem Angriff wurde das legitime Installationsprogramm durch eine kompromittierte Version ersetzt und ihr Signaturimplantat SlowStepper eingesetzt.
Inhaltsverzeichnis
SlowStepper: Eine vielseitige Hintertür im Arsenal von PlushDaemon
Im Mittelpunkt der Aktivitäten von PlushDaemon steht SlowStepper, eine funktionsreiche Hintertür mit einem Toolkit aus über 30 Komponenten. Diese in C++, Python und Go geschriebene Hintertür dient der Gruppe als wichtigstes Instrument für Spionage und Eindringversuche. SlowStepper befindet sich seit mindestens 2019 in der Entwicklung und hat sich in mehreren Iterationen weiterentwickelt. Die neueste Version wurde im Juni 2024 kompiliert.
Gekaperte Kanäle: Der Schlüssel zum Erstzugriff
PlushDaemons Angriffsstrategie nutzt häufig Schwachstellen in Webservern aus und kapert legitime Software-Update-Kanäle. Die Gruppe verschaffte sich ersten Zugriff, indem sie unsicheren Code in das NSIS-Installationsprogramm einer VPN-Software einbettete, die über die Website „ipany.kr“ vertrieben wurde. Das kompromittierte Installationsprogramm lieferte gleichzeitig die legitime Software und die SlowStepper-Hintertür.
Zielumfang und Viktimologie
Der Angriff betraf möglicherweise jeden, der das mit Sprengfallen versehene Installationsprogramm herunterlud. Beweise deuten auf Versuche hin, die kompromittierte Software in Netzwerken zu installieren, die mit einem südkoreanischen Halbleiterunternehmen und einem nicht identifizierten Softwareentwickler in Verbindung stehen. Die ersten Opfer wurden Ende 2023 in Japan und China identifiziert, was die große Reichweite der Gruppe widerspiegelt.
Eine komplexe Angriffskette: Der Einsatz von SlowStepper
Der Angriff beginnt mit der Ausführung des Installationsprogramms („IPanyVPNsetup.exe“), das die Persistenz einrichtet und einen Loader („AutoMsg.dll“) startet. Dieser Loader leitet die Ausführung von Shellcode ein und extrahiert und lädt unsichere DLL-Dateien mithilfe legitimer Tools wie „PerfWatson.exe“. In der letzten Phase wird SlowStepper aus einer Datei mit harmlosem Namen („winlogin.gif“) bereitgestellt.
Eine abgespeckte Version: SlowStepper Lite
Die Forscher identifizierten die in dieser Kampagne verwendete „Lite“-Variante von SlowStepper, die weniger Funktionen als die Vollversion enthält. Trotzdem verfügt sie über wichtige Funktionen und ermöglicht umfassende Überwachung und Datenerfassung durch Tools, die auf GitCode, einem chinesischen Code-Repository, gehostet werden.
Command-and-Control: Ein mehrstufiger Ansatz
SlowStepper verwendet ein robustes mehrstufiges Command-and-Control-Protokoll (C&C). Zunächst fragt es DNS-Server nach einem TXT-Eintrag ab, um IP-Adressen für die Kommunikation abzurufen. Wenn dies fehlschlägt, greift es auf eine sekundäre Methode zurück und verwendet eine API, um eine Fallback-Domäne aufzulösen.
Spionage im großen Maßstab: Modulare Fähigkeiten von SlowStepper
Die SlowStepper-Hintertür ist mit einer breiten Palette von Tools zum Sammeln von Informationen ausgestattet und kann Daten von folgenden Orten sammeln:
- Beliebte Webbrowser – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc Browser, UC Browser, 360 Browser und Mozilla Firefox
- Nehmen Sie Bilder auf und zeichnen Sie Bildschirme auf.
- Sammeln Sie vertrauliche Dokumente und Anwendungsdaten – txt, .doc, .docx, .xls, .xlsx, .ppt und .pptx sowie Informationen von Apps wie LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin und ToDesk.
- Erfassen Sie Chat-Nachrichten von der DingTalk-Plattform.
- Rufen Sie Python-Pakete ab, die nicht schädlich sind.
- FileScanner und FileScannerAllDisk analysieren das System, um Dateien zu lokalisieren.
- getOperaCookie extrahiert Cookies aus dem Opera-Browser.
- Der Standort identifiziert die IP-Adresse und die GPS-Koordinaten des Computers.
- qpass sammelt Informationen vom Tencent QQ Browser, der möglicherweise durch das qqpass-Modul ersetzt werden kann.
- qqpass und Webpass sammeln Passwörter von verschiedenen Browsern, darunter Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome und UC Browser.
- ScreenRecord nimmt Bildschirmaufnahmen auf.
- Telegram extrahiert Informationen aus Telegram.
- WeChat ruft Daten von der WeChat-Plattform ab.
- WirelessKey sammelt Details zum drahtlosen Netzwerk und die zugehörigen Passwörter.
Zu den einzigartigen Funktionen gehört die Möglichkeit, eine benutzerdefinierte Shell zum Ausführen von Remote-Payloads und Python-Modulen für bestimmte Aufgaben zu starten.
Spionage und Datendiebstahl im Fokus
Das modulare Design der Hintertür ermöglicht die gezielte Datenerfassung, beispielsweise von Chatnachrichten von DingTalk und WeChat, Browserkennwörtern und Systemstandortdaten. Zusätzliche Tools unterstützen Reverse-Proxy-Funktionen und Dateidownloads und verbessern so die Spionagemöglichkeiten.
Eine wachsende Bedrohung: Die Entwicklung von PlushDaemon
PlushDaemons umfangreiches Toolset und sein Engagement für die kontinuierliche Weiterentwicklung machen es zu einer beeindruckenden Einheit. Die Aktivitäten der Gruppe seit 2019 zeigen einen klaren Fokus auf die Entwicklung ausgefeilter Tools und positionieren sie als erhebliche Bedrohung in der Cybersicherheitslandschaft.
Fazit: Wachsamkeit gegenüber neuen Bedrohungen
PlushDaemons Angriffe auf die Lieferkette und seine fortschrittlichen Fähigkeiten unterstreichen die Bedeutung von Wachsamkeit in der Cybersicherheits-Community. Indem die Gruppe vertrauenswürdige Software-Vertriebskanäle ins Visier nimmt, hat sie ihre Fähigkeit unter Beweis gestellt, Netzwerke zu infiltrieren und komplexe Spionagekampagnen durchzuführen.
