
Nama kelompok ancaman persisten tingkat lanjut (APT) yang sebelumnya tidak berdokumen dan bersekutu dengan Tiongkok MewahDaemon telah dikaitkan dengan serangan rantai pasokan yang menargetkan penyedia jaringan pribadi virtual (VPN) Korea Selatan pada tahun 2023, menurut temuan baru dari ESET.
“Para penyerang mengganti penginstal yang sah dengan penginstal yang juga menerapkan implan khas grup yang kami beri nama SlowStepper – pintu belakang yang kaya fitur dengan toolkit lebih dari 30 komponen,” kata peneliti ESET Facundo Muñoz dalam laporan teknis yang dibagikan kepada The Hacker. Berita.
PlushDaemon dinilai merupakan grup China-nexus yang telah beroperasi setidaknya sejak tahun 2019, menyasar individu dan entitas di Tiongkok, Taiwan, Hong Kong, Korea Selatan, Amerika Serikat, dan Selandia Baru.
Inti dari operasinya adalah pintu belakang khusus yang disebut SlowStepper, yang digambarkan sebagai toolkit besar yang terdiri dari sekitar 30 modul, diprogram dalam C++, Python, dan Go.
Aspek penting lainnya dari serangannya adalah pembajakan saluran pembaruan perangkat lunak yang sah dan eksploitasi kerentanan di server web untuk mendapatkan akses awal ke jaringan target.
Perusahaan keamanan siber Slovakia mengatakan pada Mei 2024 mereka melihat kode berbahaya yang tertanam dalam penginstal NSIS untuk Windows yang diunduh dari situs web penyedia perangkat lunak VPN bernama IPany (“ipany[.]kr/download/IPanyVPNsetup.zip”).

Versi jahat dari penginstal, yang telah dihapus dari situs web, dirancang untuk menghapus perangkat lunak yang sah serta pintu belakang SlowStepper. Saat ini belum jelas siapa target sebenarnya dari serangan rantai pasokan ini, meskipun individu atau entitas mana pun yang mengunduh arsip ZIP jebakan bisa saja berisiko.
Data telemetri yang dikumpulkan oleh ESET menunjukkan bahwa beberapa pengguna mencoba menginstal perangkat lunak trojan di jaringan yang terkait dengan perusahaan semikonduktor dan perusahaan pengembangan perangkat lunak tak dikenal di Korea Selatan. Korban tertua tercatat berasal dari Jepang dan Chia masing-masing pada bulan November dan Desember 2023.
Rantai serangan dimulai dengan eksekusi penginstal (“IPanyVPNsetup.exe”), yang melanjutkan untuk membangun persistensi pada host antara reboot dan meluncurkan loader (“AutoMsg.dll”) yang, pada gilirannya, bertanggung jawab untuk menjalankan shellcode yang memuat DLL lain (“EncMgr.pkg”).
DLL kemudian mengekstrak dua file lagi (“NetNative.pkg” dan “FeatureFlag.pkg”) yang digunakan untuk melakukan sideload file DLL berbahaya (“lregdll.dll”) menggunakan “PerfWatson.exe,” yang merupakan versi berganti nama dari a utilitas baris perintah yang sah bernama regcap.exe yang merupakan bagian dari Microsoft Visual Studio.
Tujuan akhir DLL adalah memuat implan SlowStepper dari file winlogin.gif yang ada dalam FeatureFlag.pkg. SlowStepper diyakini sedang dikerjakan sejak Januari 2019 (versi 0.1.7), dengan iterasi terbaru (0.2.12) dikompilasi pada Juni 2024.
“Meskipun kode tersebut berisi ratusan fungsi, varian tertentu yang digunakan dalam kompromi rantai pasokan perangkat lunak IPany VPN tampaknya adalah versi 0.2.10 Lite, menurut kode pintu belakang,” kata Muñoz. “Versi yang disebut “Lite” memang mengandung lebih sedikit fitur dibandingkan versi sebelumnya dan yang lebih baru.”

Baik versi lengkap maupun Lite menggunakan serangkaian alat ekstensif yang ditulis dengan Python dan Go yang memungkinkan pengumpulan data dan pengawasan rahasia melalui perekaman audio dan video. Alat tersebut dikatakan telah dihosting di platform repositori kode Tiongkok GitCode.
Sedangkan untuk perintah dan kontrol (C&C), SlowStepper membuat kueri DNS untuk mendapatkan data TXT untuk domain 7051.gsm.360safe[.]perusahaan ke salah satu dari tiga server DNS publik (114DNS, Google, dan Alibaba Public DNS) untuk mengambil rangkaian 10 alamat IP, yang salah satunya dipilih untuk digunakan sebagai server C&C guna memproses perintah yang dikeluarkan operator.
“Jika, setelah beberapa kali mencoba, gagal membuat koneksi ke server, ia menggunakan API gethostbyname di domain st.360safe[.]perusahaan untuk mendapatkan alamat IP yang dipetakan ke domain tersebut dan menggunakan IP yang diperoleh sebagai server C&C cadangannya,” jelas Muñoz.
Perintahnya memiliki cakupan yang luas, memungkinkannya menangkap informasi sistem yang lengkap; jalankan modul Python; hapus file tertentu; jalankan perintah melalui cmd.exe; menghitung sistem file; unduh dan jalankan file; dan bahkan mencopot pemasangannya sendiri. Fitur yang agak tidak biasa dari pintu belakang adalah aktivasi shell khusus setelah menerima perintah “0x3A”.

Hal ini memberikan penyerang kemampuan untuk mengeksekusi payload sewenang-wenang yang dihosting dari jarak jauh (gcall), memperbarui komponen pintu belakang (update), dan menjalankan modul Python pada mesin yang disusupi (pycall), yang terakhir mengunduh arsip ZIP dari akun GitCode yang berisi juru bahasa Python dan perpustakaan yang akan dijalankan untuk mengumpulkan informasi yang menarik –
- Perambanyang mengumpulkan data dari browser web seperti Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, browser Cốc Cốc, UC Browser, 360 Browser, dan Mozilla Firefox
- Kamerayang mengambil foto jika kamera terhubung ke mesin yang disusupi
- KumpulkanInfoyang mengumpulkan file yang cocok dengan ekstensi .txt, .doc, .docx, .xls, .xlsx, .ppt, dan .pptx, serta informasi dari aplikasi seperti LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, dan ToDesk
- Membaca sandiyang mengunduh modul dari repositori jarak jauh dan mendekripsinya
- DingTalkyang mengambil pesan obrolan dari DingTalk
- Unduhyang mengunduh paket Python yang tidak berbahaya
- Pemindai File Dan FileScannerAllDiskyang memindai sistem untuk mencari file
- dapatkanOperaCookieyang memperoleh cookie dari browser Opera
- Lokasi, yang memperoleh alamat IP komputer dan koordinat GPS
- qpassyang mengambil data dari Tencent QQ Browser (kemungkinan digantikan oleh modul qqpass)
- qqpass Dan tiket webyang mengambil kata sandi dari Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, dan UC Browser
- Rekaman Layaryang merekam layar
- Telegramyang mengambil data dari Telegram
- Wechat wechatyang mengambil data dari WeChat
- Kunci Nirkabelyang mengumpulkan informasi dan kata sandi jaringan nirkabel
ESET mengatakan pihaknya juga mengidentifikasi dalam repositori kode jarak jauh beberapa program perangkat lunak yang ditulis dalam Golang yang menawarkan fungsi proxy terbalik dan pengunduhan.
“Pintu belakang ini terkenal karena protokol C&C multitahapnya yang menggunakan DNS, dan kemampuannya mengunduh dan mengeksekusi lusinan modul Python tambahan dengan kemampuan spionase,” kata Muñoz.
“Berbagai komponen dalam perangkat PlushDaemon, dan riwayat versinya yang kaya, menunjukkan bahwa, meskipun sebelumnya tidak diketahui, grup APT yang bersekutu dengan Tiongkok ini telah beroperasi dengan tekun untuk mengembangkan beragam alat, menjadikannya ancaman signifikan yang harus diwaspadai.”