Um grupo de ameaça persistente avançada (APT) alinhado à China, anteriormente não documentado e denominado PlushDaemon, foi associado a um ataque à cadeia de suprimentos visando um provedor sul-coreano de rede privada virtual (VPN) em 2023, de acordo com novas descobertas da ESET.
"Os atacantes substituíram o instalador legítimo por um que também implantou o implante característico do grupo, que nomeamos de SlowStepper – um backdoor rico em funcionalidades com um conjunto de ferramentas de mais de 30 componentes", disse o pesquisador da ESET, Facundo Muñoz, em um relatório técnico compartilhado.
O PlushDaemon é avaliado como um grupo com nexos na China que está operacional desde pelo menos 2019, visando indivíduos e entidades na China, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.
Central para suas operações é um backdoor feito sob medida chamado SlowStepper, descrito como um grande conjunto de ferramentas consistindo em cerca de 30 módulos, programados em C++, Python e Go.
Outro aspecto crucial de seus ataques é o sequestro de canais legítimos de atualização de software e a exploração de vulnerabilidades em servidores web para ganhar acesso inicial à rede alvo.
A empresa eslovaca de cibersegurança disse que notou em maio de 2024 código malicioso embutido no instalador NSIS para Windows baixado do site de um provedor de software VPN chamado IPany ("ipany[.]kr/download/IPanyVPNsetup.zip").
A versão corrompida do instalador, que desde então foi removida do website, é projetada para soltar tanto o software legítimo quanto o backdoor SlowStepper.
Atualmente não está claro quais são os exatos alvos do ataque à cadeia de suprimentos, embora qualquer indivíduo ou entidade que baixou o arquivo ZIP armadilhado poderia ter estado em risco.
Dados de telemetria coletados pela ESET mostram que vários usuários tentaram instalar o software com trojan nas redes associadas a uma empresa de semicondutores e uma empresa de desenvolvimento de software não identificada na Coreia do Sul.
As vítimas mais antigas foram registradas do Japão e da China em novembro e dezembro de 2023, respectivamente.
A cadeia de ataque começa com a execução do instalador ("IPanyVPNsetup.exe"), que prossegue para estabelecer persistência no hospedeiro entre reinicializações e lança um carregador ("AutoMsg.dll") que, por sua vez, é responsável por executar shellcode que carrega outra DLL ("EncMgr.pkg").
A DLL subsequentemente extrai mais dois arquivos ("NetNative.pkg" e "FeatureFlag.pkg") que são utilizados para carregar lateralmente um arquivo DLL malicioso ("lregdll.dll") usando "PerfWatson.exe", que é uma versão renomeada de uma utilidade de linha de comando legítima chamada regcap.exe que faz parte do Microsoft Visual Studio.
O objetivo final da DLL é carregar o implante SlowStepper do arquivo winlogin.gif presente dentro de FeatureFlag.pkg.
Acredita-se que o SlowStepper esteja em desenvolvimento desde janeiro de 2019 (versão 0.1.7), com a última iteração (0.2.12) compilada em junho de 2024.
"Embora o código contenha centenas de funções, a variante específica usada no comprometimento da cadeia de suprimentos do software VPN IPany parece ser a versão 0.2.10 Lite, de acordo com o código do backdoor", disse Muñoz.
A versão chamada 'Lite' de fato contém menos recursos do que outras versões anteriores e mais recentes.
Ambas as versões, completa e Lite, fazem uso de um extenso conjunto de ferramentas escritas em Python e Go que permite a coleta de dados e vigilância clandestina através da gravação de áudio e vídeos.
As ferramentas são ditas terem sido hospedadas na plataforma chinesa de repositório de código GitCode.
Quanto ao comando e controle (C&C), o SlowStepper constrói uma consulta DNS para obter um registro TXT para o domínio 7051.gsm.360safe[.]company de um dos três servidores DNS públicos (114DNS, Google e Alibaba Public DNS) a fim de buscar um array de 10 endereços IP, dos quais um é escolhido para uso como um servidor C&C para processar comandos emitidos pelo operador.
"Se, após várias tentativas, falhar em estabelecer uma conexão com o servidor, ele usa a API gethostbyname no domínio st.360safe[.]company para obter o endereço IP mapeado para esse domínio e usa o IP obtido como seu servidor C&C de reserva", explicou Muñoz.
Os comandos abrangem uma ampla gama, permitindo capturar informações exaustivas do sistema; executar um módulo Python; deletar arquivos específicos; executar comandos via cmd.exe; enumerar o sistema de arquivos; baixar e executar arquivos; e até mesmo se desinstalar.
Uma característica bastante incomum do backdoor é a ativação de um shell personalizado ao recebimento do comando "0x3A".
Isso dá ao atacante a capacidade de executar payloads arbitrariamente hospedadas remotamente (gcall), atualizar componentes do backdoor (update) e rodar um módulo Python na máquina comprometida (pycall), o último dos quais baixa um arquivo ZIP da conta GitCode que contém o interpretador Python e a biblioteca a ser executada para coletar informações de interesse:
-Navegador, que coleta dados de navegadores web como Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc, UC Browser, 360 Browser e Mozilla Firefox
-Câmera, que tira fotos se uma câmera estiver conectada à máquina comprometida
CollectInfo, que coleta arquivos que correspondam às extensões .txt, .doc, .docx, .xls, .xlsx, .ppt e .pptx, bem como informações de aplicativos como LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin e ToDesk
-Decode, que baixa um módulo do repositório remoto e o descriptografa
-DingTalk, que coleta mensagens de chat do DingTalk
-Download, que baixa pacotes Python não maliciosos
-FileScanner e FileScannerAllDisk, que escaneiam o sistema por arquivos
getOperaCookie, que obtém cookies do navegador Opera
-Localização, que obtém o endereço IP do computador e as coordenadas GPS
qpass, que coleta dados do navegador Tencent QQ (provavelmente substituído pelo módulo qqpass)
qqpass e Webpass, que coletam senhas do Google Chrome, Mozilla Firefox, navegador Tencent QQ, 360 Chrome e UC Browser
-ScreenRecord, que grava a tela
-Telegram, que coleta dados do Telegram
-WeChat, que coleta dados do WeChat
-WirelessKey, que coleta informações e senhas de redes sem fio
A ESET disse que também identificou no repositório de código remoto vários programas de software escritos em Golang que oferecem funcionalidades de proxy reverso e de download.
"Este backdoor é notável por seu protocolo C&C multietapa usando DNS, e sua capacidade de baixar e executar dezenas de módulos Python adicionais com capacidades de espionagem", disse Muñoz.
Os numerosos componentes no conjunto de ferramentas PlushDaemon, e sua rica história de versões, mostram que, embora anteriormente desconhecido, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver uma ampla gama de ferramentas, tornando-o uma ameaça significativa a se observar.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...