多许可证折扣报价
威胁数据库 后门 SlowStepper 后门恶意软件

SlowStepper 后门恶意软件

通过Mezo后门, 高级持续性威胁 (APT)
翻译为:
汉语

2023 年,一个此前未记录的与中国结盟的高级持续性威胁 (APT) 组织 PlushDaemon 在对一家韩国 VPN 提供商发动复杂的供应链攻击后,进入了网络安全雷达。这次攻击涉及用受感染的版本替换合法安装程序,并部署其签名植入程序 SlowStepper。

SlowStepper:PlushDaemon 武器库中的多功能后门

PlushDaemon 运营的核心是 SlowStepper,这是一个功能丰富的后门,拥有超过 30 个组件的工具包。这个后门用 C++、Python 和 Go 编写,是该组织进行间谍活动和入侵的主要工具。SlowStepper 至少从 2019 年开始开发,经过多次迭代,最新版本于 2024 年 6 月编译完成。

被劫持的渠道:初始访问的关键

PlushDaemon 的攻击策略经常利用 Web 服务器漏洞,劫持合法软件更新渠道。该组织通过将不安全代码嵌入通过网站“ipany.kr”分发的 VPN 软件的 NSIS 安装程序中来获得初始访问权限。受感染的安装程序同时分发了合法软件和 SlowStepper 后门。

目标范围和受害者分析

此次攻击可能会影响任何下载了该陷阱安装程序的实体。有证据表明,有人试图在与一家韩国半导体公司和一家身份不明的软件开发商相关的网络中安装受感染的软件。2023 年底,日本和中国发现了首批受害者,这反映了该组织的广泛影响力。

复杂的攻击链:SlowStepper 的部署

攻击从执行安装程序(“IPanyVPNsetup.exe”)开始,安装程序会设置持久性并启动加载程序(“AutoMsg.dll”)。此加载程序会启动 shellcode 执行,使用“PerfWatson.exe”等合法工具提取和侧载不安全的 DLL 文件。最后阶段涉及从无害的文件(“winlogin.gif”)部署 SlowStepper。

缩小版:SlowStepper Lite

研究人员确定了此次攻击活动中使用的 SlowStepper 的“精简版”变体,其功能比完整版少。尽管如此,它仍保留了重要功能,可通过托管在中国代码存储库 GitCode 上的工具进行全面监视和数据收集。

指挥与控制:一种多阶段方法

SlowStepper 采用强大的多级命令和控制 (C&C) 协议。它首先向 DNS 服务器查询 TXT 记录以获取用于通信的 IP 地址。如果失败,它会恢复到辅助方法,使用 API 来解析后备域。

大规模间谍活动:SlowStepper 的模块化功能

SlowStepper 后门配备了各种各样的信息收集工具,使其能够从以下位置收集数据:

  • 流行的 Web 浏览器 - Google Chrome、Microsoft Edge、Opera、Brave、Vivaldi、Cốc Cốc 浏览器、UC 浏览器、360 浏览器和 Mozilla Firefox
  • 捕捉图像并记录屏幕。
  • 收集敏感文档和应用程序数据 - txt、.doc、.docx、.xls、.xlsx、.ppt 和 .pptx,以及来自 LetsVPN、腾讯 QQ、微信、金山 WPS、e2eSoft VCam、酷狗、Oray Sunlogin 和 ToDesk 等应用程序的信息。
  • 从钉钉平台捕获聊天消息。
  • 检索无害的 Python 包。
  • FileScanner 和 FileScannerAllDisk 分析系统来定位文件。
  • getOperaCookie 从 Opera 浏览器中提取 cookie。
  • 位置识别计算机的 IP 地址和 GPS 坐标。
  • qpass 收集腾讯QQ浏览器的信息,可能被qqpass模块替代。
  • qqpass 和 Webpass 收集各种浏览器的密码,包括 Google Chrome、Mozilla Firefox、腾讯 QQ 浏览器、360 Chrome 和 UC 浏览器。
  • ScreenRecord 捕获屏幕记录。
  • Telegram 从 Telegram 中提取信息。
  • 微信从微信平台获取数据。
  • WirelessKey 收集无线网络详细信息和相关密码。

独特的功能包括能够启动自定义 shell 来执行远程有效负载和用于特定任务的 Python 模块。

关注间谍活动和数据盗窃

该后门的模块化设计使其能够有针对性地收集数据,例如来自钉钉和微信的聊天消息、浏览器密码和系统位置数据。附加工具支持反向代理功能和文件下载,从而增强了其间谍能力。

日益严重的威胁:PlushDaemon 的进化

PlushDaemon 拥有丰富的工具集,并致力于持续开发,这使其成为一个强大的实体。该组织自 2019 年以来的运营重点是开发复杂的工具,这使其成为网络安全领域的重大威胁。

结论:警惕新兴威胁

PlushDaemon 的供应链攻击和先进能力凸显了网络安全界保持警惕的重要性。通过瞄准可靠的软件分发渠道,该组织已展示出其渗透网络和执行复杂间谍活动的能力。

趋势

Protocolsafe.co.in

恶意网站, 广告软件, 浏览器劫持者
在网络威胁不断演变的时代,用户在浏览网络时必须保持警惕。欺诈网站经常采用欺骗手段来操纵访问者,使其接受侵入性广告或泄露敏感信息。Protocolsafe.co.in 就是这样一个流氓平台,它被认定为一个不值得信赖的页面,旨在利用毫无戒心的用户。了解该网站的运作方式并识别其警告信号对于保障个人在线安全至关重要。 Protocolsafe.co.in 的欺骗性质 网络安全研究人员对...

最受关注

Discord 卡在灰色屏幕上

问题
71,587
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
65,425
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

如何修复“打印机驱动程序不可用”错误

问题
63,079
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
正在加载...