Недавно обнаруженная APT-группа, получившая название PlushDaemon, провела масштабную атаку на цепочку поставок, нацеленную на южнокорейского поставщика VPN-услуг IPany. Злоумышленники заменили легитимный установочный файл VPN-клиента на троянизированную версию, содержащую сложную бэкдор-программу SlowStepper. Эта атака открывает новые грани в тактике киберпреступников и подчеркивает уязвимость даже тех организаций, которые предоставляют услуги безопасности.
Основным инструментом атаки являлся бэкдор SlowStepper, отличающийся многофункциональностью и сложностью архитектуры. Он состоит из более чем 30 компонентов и написан на C++, Python и Go. Разработка этого вредоносного ПО велась с января 2019 года (версия 0.1.7) по июнь 2024 года (версия 0.2.12), причем в атаке использовалась версия 0.2.10 Lite. Интересно отметить, что исходный код и инструменты SlowStepper размещались в китайском репозитории GitCode в репозитории Caffee под аккаунтом LetMeGo22.
Атака на IPany была многоступенчатой. Сначала пользователи, скачивая программу с официального сайта ipany[.]kr, получали троянизированный установщик IPanyVPNsetup.exe. Он, в свою очередь, запускал загрузчик AutoMsg.dll, который загружал shellcode из EncMgr.pkg. Далее, извлекались NetNative.pkg и FeatureFlag.pkg, последний из которых содержал бэкдор SlowStepper, замаскированный под winlogin.gif. Для скрытой работы использовалась подмена библиотеки lregdll.dll, которая загружалась через переименованный в regcap.exe процесс PerfWatson.exe.
SlowStepper обладает широкими возможностями для сбора данных, удаленного управления и слежки. Среди его основных функций: сбор системной информации, выполнение произвольного кода, удаление файлов, выполнение команд через cmd.exe, сканирование файловой системы, загрузка и исполнение файлов. Бэкдор также оснащен функциями "custom shell" (активируется командой "0x3A"), удаленного исполнения полезной нагрузки ("gcall"), обновления компонентов ("update") и выполнения Python-модулей ("pycall").
Особое внимание заслуживают шпионские модули SlowStepper. Они могут извлекать данные из браузеров (Chrome, Edge, Opera, Brave, Vivaldi, Cốc Cốc, UC Browser, 360 Browser и Firefox), делать снимки с камер, красть документы (Шеф doc, docx, xls, xlsx, ppt и pptx), а также информацию из различных приложений, включая LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin и ToDesk. Отдельные модули предназначены для сбора данных из DingTalk, Telegram, получения координат GPS и паролей из браузеров и беспроводных сетей.
Коммуникация с командным центром (C&C) осуществляется посредством сложного DNS-запроса. Основной домен C&C-сервера – 7051.gsm.360safe[.]company, для получения IP-адресов используется запрос TXT-записи. В качестве альтернативного домена выступает st.360safe[.]company. Злоумышленники используют общедоступные DNS-серверы, такие как 114DNS, Google и Alibaba Public DNS, для обхода обнаружения.
Активность PlushDaemon, как полагают, началась как минимум в 2019 году. Жертвами атак стали организации и частные лица в Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии. Примечательно, что попытки установки троянизированного программного обеспечения были зафиксированы в сетях, связанных с южнокорейской компанией-производителем полупроводников и неназванной компанией-разработчиком программного обеспечения. Самые ранние жертвы были зарегистрированы в Японии и Китае в ноябре и декабре 2023 года.
Первоначальный доступ к инфраструктуре жертв достигался через взлом каналов распространения легитимного ПО и использование уязвимостей веб-серверов, в частности, уязвимости Apache HTTP server, использованной неназванной организацией в Гонконге в прошлом году.
Данное расследование, проведенное словацкой компанией ESET, и в частности исследователем Факундо Муньосом, продемонстрировало высокий уровень технической подготовки APT-группы PlushDaemon. Эта атака подчеркивает опасность атак на цепочки поставок, которые способны скомпрометировать большое количество пользователей, и необходимость постоянного усиления мер кибербезопасности. Статья была обновлена после публикации, чтобы включить дополнительные сведения от ESET.
Изображение носит иллюстративный характер
Основным инструментом атаки являлся бэкдор SlowStepper, отличающийся многофункциональностью и сложностью архитектуры. Он состоит из более чем 30 компонентов и написан на C++, Python и Go. Разработка этого вредоносного ПО велась с января 2019 года (версия 0.1.7) по июнь 2024 года (версия 0.2.12), причем в атаке использовалась версия 0.2.10 Lite. Интересно отметить, что исходный код и инструменты SlowStepper размещались в китайском репозитории GitCode в репозитории Caffee под аккаунтом LetMeGo22.
Атака на IPany была многоступенчатой. Сначала пользователи, скачивая программу с официального сайта ipany[.]kr, получали троянизированный установщик IPanyVPNsetup.exe. Он, в свою очередь, запускал загрузчик AutoMsg.dll, который загружал shellcode из EncMgr.pkg. Далее, извлекались NetNative.pkg и FeatureFlag.pkg, последний из которых содержал бэкдор SlowStepper, замаскированный под winlogin.gif. Для скрытой работы использовалась подмена библиотеки lregdll.dll, которая загружалась через переименованный в regcap.exe процесс PerfWatson.exe.
SlowStepper обладает широкими возможностями для сбора данных, удаленного управления и слежки. Среди его основных функций: сбор системной информации, выполнение произвольного кода, удаление файлов, выполнение команд через cmd.exe, сканирование файловой системы, загрузка и исполнение файлов. Бэкдор также оснащен функциями "custom shell" (активируется командой "0x3A"), удаленного исполнения полезной нагрузки ("gcall"), обновления компонентов ("update") и выполнения Python-модулей ("pycall").
Особое внимание заслуживают шпионские модули SlowStepper. Они могут извлекать данные из браузеров (Chrome, Edge, Opera, Brave, Vivaldi, Cốc Cốc, UC Browser, 360 Browser и Firefox), делать снимки с камер, красть документы (Шеф doc, docx, xls, xlsx, ppt и pptx), а также информацию из различных приложений, включая LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin и ToDesk. Отдельные модули предназначены для сбора данных из DingTalk, Telegram, получения координат GPS и паролей из браузеров и беспроводных сетей.
Коммуникация с командным центром (C&C) осуществляется посредством сложного DNS-запроса. Основной домен C&C-сервера – 7051.gsm.360safe[.]company, для получения IP-адресов используется запрос TXT-записи. В качестве альтернативного домена выступает st.360safe[.]company. Злоумышленники используют общедоступные DNS-серверы, такие как 114DNS, Google и Alibaba Public DNS, для обхода обнаружения.
Активность PlushDaemon, как полагают, началась как минимум в 2019 году. Жертвами атак стали организации и частные лица в Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии. Примечательно, что попытки установки троянизированного программного обеспечения были зафиксированы в сетях, связанных с южнокорейской компанией-производителем полупроводников и неназванной компанией-разработчиком программного обеспечения. Самые ранние жертвы были зарегистрированы в Японии и Китае в ноябре и декабре 2023 года.
Первоначальный доступ к инфраструктуре жертв достигался через взлом каналов распространения легитимного ПО и использование уязвимостей веб-серверов, в частности, уязвимости Apache HTTP server, использованной неназванной организацией в Гонконге в прошлом году.
Данное расследование, проведенное словацкой компанией ESET, и в частности исследователем Факундо Муньосом, продемонстрировало высокий уровень технической подготовки APT-группы PlushDaemon. Эта атака подчеркивает опасность атак на цепочки поставок, которые способны скомпрометировать большое количество пользователей, и необходимость постоянного усиления мер кибербезопасности. Статья была обновлена после публикации, чтобы включить дополнительные сведения от ESET.
