In un recente attacco informatico, un gruppo di minaccia persistente avanzata (APT) denominato PlushDaemon, allineato alla Cina, è stato collegato ad un attacco alla supply chain che ha preso di mira un fornitore di VPN sudcoreano nel 2023, secondo le scoperte di ESET. Gli attaccanti hanno sostituito l'installatore legittimo con uno che distribuisce anche l'impianto caratteristico del gruppo chiamato SlowStepper, un backdoor ricco di funzionalità con un toolkit di oltre 30 componenti. PlushDaemon è operativo dal 2019 e prende di mira individui ed entità in Cina, Taiwan, Hong Kong, Corea del Sud, Stati Uniti e Nuova Zelanda.
SlowStepper e le sue funzionalità
Il cuore delle sue operazioni è un backdoor su misura noto come SlowStepper, descritto come un grande set di strumenti costituito da circa 30 moduli, programmati in C++, Python e Go. Un aspetto cruciale dei suoi attacchi è il dirottamento dei canali di aggiornamento software legittimi e lo sfruttamento delle vulnerabilità nei server web per ottenere l'accesso iniziale alla rete bersaglio. ESET ha rilevato codice dannoso incorporato all'interno dell'installer NSIS per Windows scaricato dal sito web di un fornitore di software VPN chiamato IPany.
Attacco alla supply chain
La versione rogue dell'installer è progettata per rilasciare sia il software legittimo sia il backdoor SlowStepper. Non è chiaro chi siano esattamente i bersagli dell'attacco alla supply chain, sebbene chiunque scarichi l'archivio ZIP truccato potrebbe essere a rischio. I dati di telemetria raccolti da ESET mostrano che diversi utenti hanno tentato di installare il software trojanizzato nelle reti associate a un'azienda di semiconduttori e a una società di sviluppo software non identificata in Corea del Sud. Le vittime più antiche sono state registrate in Giappone e Cina rispettivamente a novembre e dicembre 2023.
Catena di attacco e persistenza
La catena di attacco inizia con l'esecuzione dell'installer, che procede a stabilire la persistenza sull'host tra i riavvii e lancia un loader responsabile dell'esecuzione di shellcode che carica un altro file DLL. Questo ultimo DLL estrae due file aggiuntivi utilizzati per caricare un file DLL dannoso utilizzando un'utilità legittima rinominata. Lo scopo finale è caricare l'impianto SlowStepper. SlowStepper è in sviluppo almeno dal gennaio 2019, con l'ultima iterazione compilata nel giugno 2024. La variante utilizzata nella compromissione della supply chain appare essere una versione Lite con meno funzionalità rispetto ad altre versioni.
Strumenti e tecniche di SlowStepper
Entrambe le versioni completa e Lite utilizzano un ampio insieme di strumenti scritti in Python e Go che consentono la raccolta di dati e la sorveglianza clandestina. Gli strumenti sono stati ospitati nella piattaforma di repository di codice cinese GitCode. SlowStepper costruisce una query DNS per ottenere un record TXT da un dominio per recuperare un array di indirizzi IP, da cui ne sceglie uno da utilizzare come server C&C. I comandi eseguiti vanno dall'acquisizione di informazioni di sistema all'esecuzione di moduli Python, fino alla disinstallazione del backdoor stesso. Questo backdoor è degno di nota per il suo protocollo C&C multistadio utilizzando il DNS.
