Daha önce belgesiz Çin hizalanmış gelişmiş kalıcı tehdit (APT) Grubu Plushdaemon ESET’in yeni bulgularına göre, 2023’te Güney Koreli Sanal Özel Ağ (VPN) sağlayıcısını hedefleyen bir tedarik zinciri saldırısıyla bağlantılı.
ESET araştırmacısı Facundo Muñoz, “Saldırganlar, meşru yükleyiciyi, 30’dan fazla bileşenden oluşan bir araç seti olan Slowstepper adını verdiğimiz grubun imza implantını da kullanan biriyle değiştirdi.” söz konusu Hacker News ile paylaşılan bir teknik raporda.
Plushdaemon, Çin, Tayvan, Hong Kong, Güney Kore, ABD ve Yeni Zelanda’daki bireyleri ve varlıkları hedefleyen en az 2019’dan beri faaliyete geçen bir Çin-nexus grubu olarak değerlendiriliyor.
Operasyonlarının merkezinde, C ++, Python ve Go’da programlanmış yaklaşık 30 modülden oluşan büyük bir araç seti olarak tanımlanan Slowstepper adlı ısmarlama bir arka kapı bulunmaktadır.
Saldırılarının bir diğer önemli yönü, yasal yazılım güncelleme kanallarının ele geçirilmesi ve hedef ağa ilk erişim elde etmek için web sunucularındaki güvenlik açıklarının kullanılmasıdır. Muñoz, Hacker News’e Plushdaemon’un Apache HTTP sunucusunda bilinmeyen bir güvenlik açığını geçen yıl Hong Kong’daki kimliği belirsiz bir kuruluştan istismar ettiğini söyledi.
Slovak siber güvenlik şirketi, Mayıs 2024’te, iPany (“iPany adlı bir VPN yazılım sağlayıcısının web sitesinden indirilen Windows için NSIS yükleyicisine gömülü kötü amaçlı kodun fark ettiğini söyledi.[.]Kr/indir/ipanyvpnsetup.zip “).
O zamandan beri web sitesinden kaldırılan yükleyicinin haydut versiyonu, meşru yazılımı ve Slowstepper Backdoor’u bırakmak için tasarlanmıştır. Tedarik zinciri saldırısının kesin hedeflerinin kim olduğu net değil, ancak bubi sıkışmış fermuar arşivini indiren herhangi bir kişi veya varlık risk altında olabilirdi.
ESET tarafından toplanan telemetri verileri, birkaç kullanıcının bir yarı iletken şirketi ve Güney Kore’de tanımlanamayan bir yazılım geliştirme şirketi ile ilişkili ağlara truva atma yazılımı yüklemeye çalıştığını göstermektedir. En eski kurbanlar sırasıyla Kasım ve Aralık 2023’te Japonya ve Çin’den kaydedildi.
Saldırı zinciri, yeniden başlatma ve bir yükleyici (“autsg.dll”) arasında ana bilgisayar üzerinde kalıcılık oluşturmaya devam eden yükleyicinin (“ipanyvpnsetup.exe”) yürütülmesi ile başlar (“autsg.dll”), bu da kabuk kodu çalıştırmaktan sorumludur. Başka bir DLL (“Encmgr.pkg”) yükler.
DLL daha sonra, “Perfwatson.exe” kullanarak kötü amaçlı bir DLL dosyasını (“Lregdll.dll”) kullanan iki dosya (“netnative.pkg” ve “özelliğiflag.pkg”) daha fazla çıkarır. Meşru komut satırı yardımcı programı, Microsoft Visual Studio’nun bir parçası olan regcap.exe adlı.
DLL’nin nihai hedefi, Slowstepper implantını winlogin.gif dosyasından özel olarak bulunur. Slowstepper’ın Ocak 2019’dan bu yana eserlerde olduğuna inanılıyor (sürüm 0.1.7), en son yineleme (0.2.12) Haziran 2024’te derlendi.
Muñoz, “Kod yüzlerce işlev içerse de, iPany VPN yazılımının tedarik zinciri uzlaşmasında kullanılan özel varyant, arka kapı koduna göre 0.2.10 lite sürüm gibi görünüyor.” Dedi. “Sözde ‘lite’ versiyonu gerçekten de önceki ve yeni sürümlerden daha az özellik içeriyor.”
Hem tam hem de lite sürümleri, ses ve videoların kaydedilmesi yoluyla veri ve gizli gözetim toplanmasına izin veren Python ve Go’da yazılmış kapsamlı bir araç paketi kullanır. Araçların Çin Kod Deposu Platformunda barındırıldığı söyleniyor Gitcode.
Hacker News ayrıca bir Gitee Hesabı Bu aşamada ilişkili olup olmadıkları bilinmemekle birlikte, GITCODE deposununki ile aynı kullanıcı adı ile. Muñoz, “Letmego22 hesabı ile ilgili olarak, ‘Caffee’ deposu Slowstepper tarafından kullanılan çeşitli araçlara ev sahipliği yapmasına rağmen, bu araçların Plushdaemon’un çalışması mı yoksa bazı üçüncü tarafın çalışması mı olduğunu bilmiyoruz.” Dedi.
Komut ve kontrol (C&C) gelince, Slowstepper 7051.gsm.360safe alan adı için bir txt kaydı elde etmek için bir DNS sorgusu oluşturur.[.]Operatör tarafından verilen komutları işlemek için C&C sunucusu olarak kullanılmak üzere seçilen 10 IP adresi dizisini almak için üç genel DNS sunucusundan birine (114dns, Google ve Alibaba genel DNS) şirket.
“Bir dizi denemeden sonra, sunucu ile bir bağlantı kuramazsa, gethostbyname API Alanında St.360Safe[.]Muñoz, bu etki alanıyla eşlenen IP adresini elde etmek için şirket ve elde edilen IP’yi geri dönüş C&C sunucusu olarak kullanıyor. “
Komutlar, kapsamlı sistem bilgilerini yakalamasına izin veren geniş bir gam çalıştırır; Bir Python modülü yürütmek; belirli dosyaları sil; CMD.EXE üzerinden komutları çalıştırın; dosya sistemini numaralandırın; Dosyaları indirin ve yürüt; Ve hatta kendini kaldır. Arka kapının oldukça sıra dışı bir özelliği, “0x3a” komutunun alınması üzerine özel bir kabuğun etkinleştirilmesidir.
Bu, saldırgana uzaktan barındırılan rastgele yükleri yürütme (GCALL), arka kapının (güncelleme) bileşenlerini güncelleme ve sonuncusu Gitcode hesabından bir fermuar arşivi indiren bir Python modülü çalıştırma yeteneği verir. İlgilenilen bilgileri toplamak için Python tercümanını ve çalıştırılacak kütüphaneyi içerir –
- TarayıcıGoogle Chrome, Microsoft Edge, Opera, Brave, Vivaldi, CốC CốC tarayıcı, UC tarayıcı, 360 tarayıcı ve Mozilla Firefox gibi web tarayıcılarından veri toplayan
- Kamerabir kamera tehlikeye atılan makineye bağlıysa fotoğraf çeken
- Toplama.txt, .doc, .docx, .xls, .xlsx, .ppt ve .pptx ile eşleşen dosyaları ve Letsvpn, Tencent Qq, Wechat, Kingsoft WPS, E2esoft VCam, Kugou, bilgileri hasat eden. Oray Sunlogin ve Todesk
- Kodlamakuzak depodan bir modül indiren ve şifresini çözen
- Dingtalkdingtalk’tan sohbet mesajlarını hasat eden
- İndirmekMalisyen Olmayan Python Paketlerini İndiren
- Fişekçi Ve FilescannerallDiskSistemi dosyalar için tarar
- Getoperacookieopera tarayıcısından çerezler elde eden
- Konumbilgisayarın IP adresini ve GPS koordinatlarını elde eden
- qpassTencent QQ tarayıcısından veri toplayan (muhtemelen qqpass modülü ile değiştirilir)
- qqpass Ve WebPassGoogle Chrome, Mozilla Firefox, Tencent QQ tarayıcısı, 360 Chrome ve UC tarayıcısından şifreleri hasat eden
- ScreenRecordekranı kaydeden
- Telgraftelgraftan veri toplayan
- WeChatwechat’ten veri toplayan
- Kablosuz türükablosuz ağ bilgilerini ve şifreleri hasat eden
Sofistike hackleme grubunun çok yönlülüğü, tedarik zinciri uzlaşmasının ötesine geçen çeşitli saldırı zincirleri ve Apache HTTP hizmetinin de ilk giriş için hedeflenmiş düşman (AITM) saldırılarını kapsayacak şekilde sömürülmesiyle daha da kanıtlanmıştır.
Bu dahil Luoyu, Kurtuluş Panda, Blacktech, diğer Çin uyumlusu kümeler tarafından sergilenen bir taktik olan yönlendirici seviyesinde DNS kaçırma gerçekleştirerek Sogou Pinyin gibi popüler uygulamalarla ilişkili yazılım güncelleme mekanizmasını kaçırma THEWIZARD’larve Blackwood. Saldırılar, Littledaemon adlı bir indiricinin teslimine yol açtı.
Şirket, yaklaşımın Luoyu, Kurtuluşlu Panda, Blackwood ve Plushdaemon için “kuşkuyla benzer” göründüğünü ve esas olarak Çin’de bulunan, yazılım geliştirme ve Çince konuşan hedefler ile ilgili görünen bazı varlıkları ve bireyleri gördüğünü söyledi. Amerika Birleşik Devletleri ve Yeni Zelanda bu şekilde hedef aldı.
ESET, uzaktan kod deposunda, Golang’da yazılmış ve ters proxy ve indirme işlevleri sunan çeşitli yazılım programlarını da tanımladığını söyledi.
Muñoz, “Bu arka kapı, DNS kullanan çok aşamalı C&C protokolü ve casusluk özelliklerine sahip düzinelerce ek python modülünü indirme ve yürütme yeteneği ile dikkat çekiyor.” Dedi.
“Plushdaemon araç setindeki sayısız bileşen ve zengin versiyon geçmişi, daha önce bilinmeyen olsa da, Çin’e uyumlu bu APT grubunun geniş bir araç geliştirmek için özenle çalıştığını ve izlemeyi önemli bir tehdit haline getirdiğini gösteriyor.”
(Hikaye, yayından sonra ESET’ten ek bilgiler içerecek şekilde güncellendi.)
