Logiciel malveillant de porte dérobée SlowStepper

En 2023, PlushDaemon, un groupe de menaces persistantes avancées (APT) allié à la Chine, jusqu'alors inconnu, est apparu sur le radar de la cybersécurité à la suite d'une attaque sophistiquée de la chaîne d'approvisionnement contre un fournisseur de VPN sud-coréen. Cette attaque impliquait le remplacement de l'installateur légitime par une version compromise et le déploiement de leur implant signature, SlowStepper.

SlowStepper : une porte dérobée polyvalente dans l’arsenal de PlushDaemon

Au cœur des opérations de PlushDaemon se trouve SlowStepper, une porte dérobée riche en fonctionnalités dotée d'une boîte à outils de plus de 30 composants. Écrite en C++, Python et Go, cette porte dérobée sert d'instrument principal du groupe pour l'espionnage et l'intrusion. SlowStepper est en développement depuis au moins 2019, évoluant à travers de multiples itérations, avec sa dernière version compilée en juin 2024.

Chaînes piratées : la clé de l’accès initial

La stratégie d'attaque de PlushDaemon exploite fréquemment les vulnérabilités des serveurs Web et détourne les canaux de mise à jour de logiciels légitimes. Le groupe a obtenu un accès initial en incorporant un code non sécurisé dans l'installateur NSIS d'un logiciel VPN distribué via le site Web « ipany.kr ». L'installateur compromis a simultanément livré le logiciel légitime et la porte dérobée SlowStepper.

Portée de la cible et victimologie

L'attaque a potentiellement affecté toute entité téléchargeant le programme d'installation piégé. Des preuves montrent des tentatives d'installation du logiciel compromis dans des réseaux associés à une société sud-coréenne de semi-conducteurs et à un développeur de logiciels non identifié. Les premières victimes ont été identifiées au Japon et en Chine fin 2023, ce qui reflète l'ampleur du groupe.

Une chaîne d’attaque complexe : le déploiement de SlowStepper

L'attaque commence par l'exécution du programme d'installation ('IPanyVPNsetup.exe'), qui configure la persistance et lance un chargeur ('AutoMsg.dll'). Ce chargeur lance l'exécution du shellcode, l'extraction et le chargement latéral des fichiers DLL non sécurisés à l'aide d'outils légitimes comme 'PerfWatson.exe'. L'étape finale consiste à déployer SlowStepper à partir d'un fichier au nom inoffensif ('winlogin.gif').

Une version réduite : SlowStepper Lite

Les chercheurs ont identifié la variante « Lite » de SlowStepper utilisée dans cette campagne, qui comprend moins de fonctionnalités que la version complète. Malgré cela, elle conserve des capacités importantes, permettant une surveillance complète et la collecte de données grâce à des outils hébergés sur GitCode, un référentiel de code chinois.

Commandement et contrôle : une approche en plusieurs étapes

SlowStepper utilise un protocole de commande et de contrôle (C&C) robuste à plusieurs étapes. Il interroge d'abord les serveurs DNS pour obtenir un enregistrement TXT afin de récupérer les adresses IP pour la communication. En cas d'échec, il revient à une méthode secondaire, en utilisant une API pour résoudre un domaine de secours.

Espionnage à grande échelle : capacités modulaires de SlowStepper

La porte dérobée SlowStepper est équipée d'un large éventail d'outils de collecte d'informations, lui permettant de collecter des données à partir de :

• Navigateurs Web populaires - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, navigateur Cốc Cốc, navigateur UC, navigateur 360 et Mozilla Firefox
• Capturez des images et enregistrez des écrans.
• Collectez des documents sensibles et des données d'application - txt, .doc, .docx, .xls, .xlsx, .ppt et .pptx, ainsi que des informations provenant d'applications telles que LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin et ToDesk.
• Capturez les messages de discussion depuis la plateforme DingTalk.
• Récupérez les packages Python qui ne sont pas nuisibles.
• FileScanner et FileScannerAllDisk analysent le système pour localiser les fichiers.
• getOperaCookie extrait les cookies du navigateur Opera.
• L'emplacement identifie l'adresse IP et les coordonnées GPS de l'ordinateur.
• qpass collecte des informations à partir du navigateur Tencent QQ, qui peut éventuellement être remplacé par le module qqpass.
• qqpass et Webpass collectent les mots de passe de divers navigateurs, notamment Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome et UC Browser.
• ScreenRecord capture des enregistrements d'écran.
• Telegram extrait des informations de Telegram.
• WeChat récupère les données de la plateforme WeChat.
• WirelessKey collecte les détails du réseau sans fil et les mots de passe associés.

Les fonctionnalités uniques incluent la possibilité de lancer un shell personnalisé pour exécuter des charges utiles distantes et des modules Python pour des tâches spécifiques.

Focus sur l’espionnage et le vol de données

La conception modulaire de la porte dérobée permet la collecte de données ciblées, telles que les messages de discussion de DingTalk et WeChat, les mots de passe du navigateur et les données de localisation du système. Des outils supplémentaires prennent en charge la fonctionnalité de proxy inverse et les téléchargements de fichiers, améliorant ainsi ses capacités d'espionnage.

Une menace grandissante : l’évolution de PlushDaemon

La vaste gamme d'outils de PlushDaemon et son engagement en faveur d'un développement continu en font une entité redoutable. Les opérations du groupe depuis 2019 mettent en évidence une focalisation claire sur la création d'outils sophistiqués, le positionnant comme une menace importante dans le paysage de la cybersécurité.

Conclusion : vigilance face aux menaces émergentes

Les attaques de la chaîne d'approvisionnement et les capacités avancées de PlushDaemon soulignent l'importance de la vigilance au sein de la communauté de la cybersécurité. En ciblant des canaux de distribution de logiciels de confiance, le groupe a démontré sa capacité à infiltrer des réseaux et à exécuter des campagnes d'espionnage complexes.