Daha önce belgelenmemiş, Çin’e uyumlu gelişmiş kalıcı tehdit (APT) grubu PeluşŞeytan ESET’in yeni bulgularına göre, 2023’te Güney Koreli bir sanal özel ağ (VPN) sağlayıcısını hedef alan bir tedarik zinciri saldırısıyla ilişkilendirildi.
ESET araştırmacısı Facundo Muñoz, The Hacker ile paylaşılan bir teknik raporda şunları söyledi: “Saldırganlar meşru yükleyiciyi, grubun imzası olan SlowStepper adını verdiğimiz, 30’dan fazla bileşenden oluşan bir araç setine sahip, zengin özelliklere sahip bir arka kapı olan implantı da dağıtan bir yükleyiciyle değiştirdi.” Haberler.
PlushDaemon’un en az 2019’dan beri faaliyet gösteren ve Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki bireyleri ve kuruluşları hedef alan bir Çin bağlantılı grup olduğu değerlendiriliyor.
Operasyonlarının merkezinde, C++, Python ve Go ile programlanmış, yaklaşık 30 modülden oluşan büyük bir araç seti olarak tanımlanan SlowStepper adı verilen özel bir arka kapı bulunmaktadır.
Saldırılarının bir diğer önemli yönü, meşru yazılım güncelleme kanallarının ele geçirilmesi ve hedef ağa ilk erişim sağlamak için web sunucularındaki güvenlik açıklarından yararlanılmasıdır.
Slovak siber güvenlik şirketi, Mayıs 2024’te IPany (“ipany) adlı bir VPN yazılım sağlayıcısının web sitesinden indirilen Windows için NSIS yükleyicisine gömülü kötü amaçlı kod fark ettiğini söyledi.[.]kr/download/IPanyVPNsetup.zip”).
Yükleyicinin o zamandan beri web sitesinden kaldırılan hileli sürümü, meşru yazılımın yanı sıra SlowStepper arka kapısını da bırakacak şekilde tasarlanmıştır. Şu anda tedarik zinciri saldırısının kesin hedeflerinin kim olduğu belli değil, ancak bubi tuzaklı ZIP arşivini indiren herhangi bir kişi veya kuruluş risk altında olabilir.
ESET tarafından toplanan telemetri verileri, birkaç kullanıcının truva atı haline getirilmiş yazılımı Güney Kore’deki bir yarı iletken şirketi ve kimliği belirsiz bir yazılım geliştirme şirketi ile ilişkili ağlara yüklemeye çalıştığını gösteriyor. En yaşlı kurbanlar sırasıyla Kasım ve Aralık 2023’te Japonya ve Chia’dan kaydedildi.
Saldırı zinciri, yükleyicinin (“IPanyVPNsetup.exe”) çalıştırılmasıyla başlar; yükleyici, yeniden başlatmalar arasında ana bilgisayarda kalıcılık oluşturmaya devam eder ve bir yükleyiciyi (“AutoMsg.dll”) başlatır; bu yükleyici de, kabuk kodunun çalıştırılmasından sorumludur. başka bir DLL (“EncMgr.pkg”) yükler.
DLL daha sonra kötü amaçlı bir DLL dosyasını (“lregdll.dll”) başka bir yere yüklemek için kullanılan iki dosyayı (“NetNative.pkg” ve “FeatureFlag.pkg”) “PerfWatson.exe”yi (PerfWatson.exe) kullanarak çıkarır. Microsoft Visual Studio’nun bir parçası olan regcap.exe adlı meşru komut satırı yardımcı programı.
DLL’nin nihai hedefi, SlowStepper implantını FeatureFlag.pkg içinde bulunan winlogin.gif dosyasından yüklemektir. SlowStepper’ın Ocak 2019’dan beri (sürüm 0.1.7) üzerinde çalıştığına ve en son yinelemenin (0.2.12) Haziran 2024’te derlendiğine inanılıyor.
Muñoz, “Kod yüzlerce işlev içermesine rağmen, IPany VPN yazılımının tedarik zinciri uzlaşmasında kullanılan özel değişken, arka kapının koduna göre 0.2.10 Lite sürümü gibi görünüyor” dedi. “‘Lite’ olarak adlandırılan sürüm aslında diğer önceki ve daha yeni sürümlere göre daha az özellik içeriyor.”
Hem tam sürüm hem de Lite sürüm, Python ve Go ile yazılmış, ses ve video kaydı yoluyla veri toplanmasına ve gizli gözetime olanak tanıyan kapsamlı bir araç paketinden yararlanır. Araçların Çin kod deposu platformu GitCode’da barındırıldığı söyleniyor.
Komuta ve kontrole (C&C) gelince, SlowStepper 7051.gsm.360safe alanı için bir TXT kaydı elde etmek amacıyla bir DNS sorgusu oluşturur.[.]Şirket, 10 IP adresinden oluşan bir diziyi almak için üç genel DNS sunucusundan (114DNS, Google ve Alibaba Public DNS) birine bağlanır; bunlardan biri, operatör tarafından verilen komutları işlemek üzere bir C&C sunucusu olarak kullanılmak üzere seçilir.
“Birkaç denemeden sonra sunucuyla bağlantı kurmayı başaramazsa, st.360safe etki alanındaki gethostbyname API’sini kullanır[.]Muñoz, şirketin bu etki alanıyla eşlenen IP adresini almasını ve elde edilen IP’yi yedek C&C sunucusu olarak kullanmasını istiyor” dedi.
Komutlar geniş bir yelpazede çalışır ve kapsamlı sistem bilgilerini yakalamasına olanak tanır; bir Python modülünü yürütün; belirli dosyaları silin; komutları cmd.exe aracılığıyla çalıştırın; dosya sistemini numaralandırın; dosyaları indirin ve çalıştırın; ve hatta kendisini kaldırın. Arka kapının oldukça sıra dışı bir özelliği, “0x3A” komutunun alınması üzerine özel bir kabuğun etkinleştirilmesidir.
Bu, saldırgana uzaktan barındırılan rastgele veri yüklerini yürütme (gcall), arka kapının bileşenlerini güncelleme (update) ve ele geçirilen makinede bir Python modülü çalıştırma (pycall) olanağı verir; sonuncusu GitCode hesabından bir ZIP arşivi indirir. Python yorumlayıcısını ve ilgilenilen bilgileri toplamak için çalıştırılacak kütüphaneyi içeren –
- TarayıcıGoogle Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc tarayıcısı, UC Tarayıcı, 360 Tarayıcı ve Mozilla Firefox gibi web tarayıcılarından veri toplayan .
- KameraGüvenliği ihlal edilmiş makineye bir kamera bağlanırsa fotoğraf çeken
- Bilgi Toplama.txt, .doc, .docx, .xls, .xlsx, .ppt ve .pptx uzantılarıyla eşleşen dosyaların yanı sıra LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou gibi uygulamalardan gelen bilgileri toplayan . Oray Sunlogin ve ToDesk
- Kod Çözuzak depodan bir modül indiren ve şifresini çözen
- DingTalkDingTalk’tan sohbet mesajlarını toplayan
- İndirmekkötü amaçlı olmayan Python paketlerini indiren
- Dosya Tarayıcı Ve DosyaTarayıcıTümDisksistemi dosyalar için tarayan
- getOperaCookieOpera tarayıcısından çerezleri alan
- Bilgisayarın IP adresini ve GPS koordinatlarını alan konum
- qpassTencent QQ Tarayıcısından veri toplayan (muhtemelen qqpass modülü ile değiştirilmiştir)
- qqpass Ve Web geçişiGoogle Chrome, Mozilla Firefox, Tencent QQ Tarayıcısı, 360 Chrome ve UC Tarayıcısından şifreleri toplayan .
- Ekran Kaydıekranı kaydeden
- TelgrafTelegram’dan veri toplayan
- WeChatWeChat’ten veri toplayan
- KablosuzAnahtarkablosuz ağ bilgilerini ve şifrelerini toplayan
ESET, uzaktan kod deposunda Golang dilinde yazılmış, ters proxy ve indirme işlevleri sunan çeşitli yazılım programlarının da tespit edildiğini söyledi.
Muñoz, “Bu arka kapı, DNS kullanan çok aşamalı C&C protokolü ve casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirme ve çalıştırma yeteneği ile dikkate değerdir” dedi.
“PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmemekle birlikte, Çin merkezli bu APT grubunun geniş bir araç yelpazesi geliştirmek için özenle çalıştığını ve bu durumun dikkat edilmesi gereken önemli bir tehdit haline geldiğini gösteriyor.”