SlowStepper バックドア マルウェア

2023年、これまで記録されていなかった中国と連携したAPT（Advanced Persistent Threat）グループであるPlushDaemonが、韓国のVPNプロバイダーに対する高度なサプライチェーン攻撃を受けて、サイバーセキュリティのレーダー上に現れました。この攻撃では、正規のインストーラーを侵害されたバージョンに置き換え、彼らの特徴的なインプラントであるSlowStepperを展開しました。

SlowStepper: PlushDaemon の武器庫にある多目的バックドア

PlushDaemon の活動の中心となっているのは、30 を超えるコンポーネントのツールキットを誇る機能豊富なバックドアである SlowStepper です。C++、Python、Go で書かれたこのバックドアは、このグループのスパイ活動と侵入の主な手段として機能します。SlowStepper は少なくとも 2019 年から開発されており、複数の反復を経て進化し、最新バージョンは 2024 年 6 月にコンパイルされました。

ハイジャックされたチャンネル: 最初のアクセスの鍵

PlushDaemon の攻撃戦略は、Web サーバーの脆弱性を頻繁に悪用し、正規のソフトウェア更新チャネルを乗っ取るものです。このグループは、Web サイト「ipany.kr」経由で配布された VPN ソフトウェアの NSIS インストーラーに危険なコードを埋め込むことで、最初のアクセスを獲得しました。侵害されたインストーラーは、正規のソフトウェアと SlowStepper バックドアを同時に配信しました。

ターゲット範囲と被害者学

この攻撃は、罠を仕掛けたインストーラーをダウンロードしたあらゆる組織に影響を及ぼす可能性がある。韓国の半導体企業と身元不明のソフトウェア開発会社に関連するネットワークに、侵害されたソフトウェアをインストールしようとする試みがあったことを示す証拠がある。最初の被害者は2023年後半に日本と中国で特定されており、このグループの広範囲にわたる活動範囲を反映している。

複雑な攻撃チェーン: SlowStepper の展開

攻撃はインストーラ (「IPanyVPNsetup.exe」) の実行から始まり、永続性を設定し、ローダー (「AutoMsg.dll」) を起動します。このローダーはシェルコードの実行を開始し、「PerfWatson.exe」などの正当なツールを使用して安全でない DLL ファイルを抽出してサイドロードします。最終段階では、無害な名前のファイル (「winlogin.gif」) から SlowStepper を展開します。

縮小版: SlowStepper Lite

研究者らは、このキャンペーンで使用された SlowStepper の「Lite」亜種を特定しました。これには、フルバージョンよりも機能が少ないものが含まれています。それにもかかわらず、重要な機能が保持されており、中国のコード リポジトリである GitCode でホストされているツールを通じて包括的な監視とデータ収集が可能です。

指揮統制：多段階アプローチ

SlowStepper は、堅牢な多段階のコマンド アンド コントロール (C&C) プロトコルを採用しています。まず、DNS サーバーに TXT レコードを照会して、通信用の IP アドレスを取得します。これが失敗すると、2 番目の方法に戻り、API を使用してフォールバック ドメインを解決します。

大規模なスパイ活動: SlowStepper のモジュール機能

SlowStepper バックドアには、情報収集用のさまざまなツールが装備されており、以下からデータを収集できます。

• 人気のウェブブラウザ - Google Chrome、Microsoft Edge、Opera、Brave、Vivaldi、Cốc Cốc ブラウザ、UC ブラウザ、360 ブラウザ、Mozilla Firefox
• 画像をキャプチャし、画面を記録します。
• 機密文書とアプリケーション データ (txt、.doc、.docx、.xls、.xlsx、.ppt、.pptx) のほか、LetsVPN、Tencent QQ、WeChat、Kingsoft WPS、e2eSoft VCam、KuGou、Oray Sunlogin、ToDesk などのアプリからの情報も収集します。
• DingTalk プラットフォームからチャット メッセージをキャプチャします。
• 有害ではない Python パッケージを取得します。
• FileScanner と FileScannerAllDisk はシステムを分析してファイルを見つけます。
• getOperaCookie は Opera ブラウザから Cookie を抽出します。
• 場所は、コンピューターの IP アドレスと GPS 座標を識別します。
• qpass は Tencent QQ ブラウザから情報を収集しますが、これは qqpass モジュールに置き換えられる可能性があります。
• qqpass と Webpass は、Google Chrome、Mozilla Firefox、Tencent QQ Browser、360 Chrome、UC Browser など、さまざまなブラウザからパスワードを収集します。
• ScreenRecord は画面録画をキャプチャします。
• Telegram は Telegram から情報を抽出します。
• WeChat は WeChat プラットフォームからデータを取得します。
• WirelessKey は、ワイヤレス ネットワークの詳細と関連するパスワードを収集します。

独自の機能には、特定のタスク用のリモート ペイロードや Python モジュールを実行するためのカスタム シェルを起動する機能が含まれます。

スパイ活動とデータ盗難に焦点を当てる

バックドアのモジュール設計により、DingTalk や WeChat からのチャット メッセージ、ブラウザーのパスワード、システムの位置情報データなど、標的を絞ったデータ収集が可能になります。追加ツールはリバース プロキシ機能とファイルのダウンロードをサポートし、スパイ活動能力を強化します。

増大する脅威: PlushDaemon の進化

PlushDaemon の広範なツールセットと継続的な開発への取り組みにより、同社は強力な存在となっています。2019 年以来の同グループの活動は、洗練されたツールの作成に明確に重点を置いていることを浮き彫りにしており、サイバーセキュリティ分野における重大な脅威として位置付けられています。

結論: 新たな脅威に対する警戒

PlushDaemon のサプライ チェーン攻撃と高度な機能は、サイバー セキュリティ コミュニティにおける警戒の重要性を強調しています。このグループは、信頼できるソフトウェア配布チャネルを標的にすることで、ネットワークに侵入し、複雑なスパイ活動を実行する能力を実証しました。