PlushDaemon APT 针对韩国的供应链攻击

摘要：根据 ESET 的最新发现，一个名为PlushDaemon的此前未记录的高级持续性威胁 (APT) 组织与 2023 年针对韩国虚拟专用网络 (VPN) 提供商的供应链攻击有关。

根据 ESET 的最新发现，一个名为PlushDaemon的此前未记录的高级持续性威胁 (APT) 组织与 2023 年针对韩国虚拟专用网络 (VPN) 提供商的供应链攻击有关。

ESET 研究员 Facundo Muñoz在一份技术报告中表示：“攻击者用一个安装程序替换了合法的安装程序，该安装程序还部署了该组织特有的植入程序，我们将其命名为 SlowStepper - 一个功能丰富的后门，其工具包包含 30 多个组件。”

PlushDaemon APT组织至少自 2019 年开始运营，目标是亚太地区的个人和实体。

其运营的核心是一个名为 SlowStepper 的定制后门，它被描述为一个大型工具包，包含大约 30 个模块，用 C++、Python 和 Go 编程。

其攻击的另一个关键方面是劫持合法的软件更新渠道并利用 Web 服务器中的漏洞来获取对目标网络的初始访问权限。PlushDaemon 去年利用了来自香港某个不明组织的 Apache HTTP 服务器中的未知漏洞。

ESET表示，它在 2024 年 5 月注意到从名为 IPany 的 VPN 软件提供商网站下载的 Windows NSIS 安装程序中嵌入了恶意代码（“ipany[.]kr/download/IPanyVPNsetup.ZIP”）。

IPany 网站上可下载恶意安装程序的页面

被篡改的安装程序版本已从网站上删除，其目的是删除合法软件以及 SlowStepper 后门。目前尚不清楚供应链攻击的具体目标是谁，但任何下载带有陷阱的 ZIP 存档的个人或实体都可能面临风险。

ESET 收集的遥测数据显示，多名用户试图在一家韩国半导体公司和一家未透露姓名的软件开发公司所属的网络中安装该木马软件。最早的受害者分别来自日本和中国，时间是 2023 年 11 月和 12 月。

攻击链从安装程序（“IPanyVPNsetup.exe”）的执行开始，该安装程序在主机重新启动之间建立持久性并启动加载程序（“AutoMsg.dll”），该加载程序又负责运行加载另一个 DLL（“EncMgr.pkg”）的 shellcode。

该 DLL 随后提取另外两个文件（“NetNative.pkg”和“FeatureFlag.pkg”），这两个文件用于使用“PerfWatson.exe”侧载恶意 DLL 文件（“lregdll.dll”），“PerfWatson.exe”是合法命令行实用程序 regcap.exe 的重命名版本，是 Microsoft Visual Studio 的一部分。

该 DLL 的最终目标是从 FeatureFlag.pkg 中的 winlogin.gif 文件中加载 SlowStepper 植入程序。据信 SlowStepper 自 2019 年 1 月（版本 0.1.7）开始开发，最新版本（0.2.12）于 2024 年 6 月编译完成。

“尽管代码包含数百个函数，但根据后门代码，IPany VPN 软件供应链入侵所使用的特定变体似乎是 0.2.10 Lite 版本。”Muñoz 表示。“所谓的‘Lite’版本确实包含的功能少于其他以前和较新的版本。”

完整版和精简版都使用了用 Python 和 Go 编写的大量工具，可以通过录制音频和视频来收集数据和进行秘密监视。据说这些工具托管在代码存储库平台GitCode中。

Hacker News 还发现了一个用户名与 GitCode 相同的Gitee 帐户，但尚不清楚它们是否有关联。“至于 LetMeGo22 帐户，尽管其‘caffee’存储库托管了 SlowStepper 使用的各种工具，但我们不知道这些工具是 PlushDaemon 的作品还是某些第三方的作品。”Muñoz 说。

至于命令和控制 (C＆C)，SlowStepper 构建 DNS 查询以获取域 7051.gsm.360safe[.]company 的 TXT 记录，并将其发送到三个公共 DNS 服务器（114DNS、Google 和阿里巴巴公共 DNS）之一，以便获取 10 个 IP 地址的数组，从中选择一个用作 C＆C 服务器来处理操作员发出的命令。

Muñoz 解释说：“如果经过多次尝试后仍无法与服务器建立连接，它会使用域 st.360safe[.]company 上的gethostbyname API来获取映射到该域的 IP 地址，并使用获取的 IP 作为其后备 C＆C 服务器。”

这些命令的范围很广，允许它捕获详尽的系统信息；执行 Python 模块；删除特定文件；通过 cmd.exe 运行命令；枚举文件系统；下载和执行文件；甚至卸载自身。后门的一个相当不寻常的功能是在收到“0x3A”命令时激活自定义 shell。

这使得攻击者能够执行远程托管的任意有效负载（gcall）、更新后门组件（update）并在受感染的机器上运行 Python 模块（pycall），最后从 GitCode 帐户下载一个 ZIP 存档，其中包含 Python 解释器和要运行的库，以收集感兴趣的信息：

浏览器，从 Google Chrome、Microsoft Edge、Opera、Brave、Vivaldi、Cốc Cốc 浏览器、UC 浏览器、360 浏览器和 Mozilla Firefox 等网络浏览器收集数据

相机，如果受感染的机器上连接有相机，就会拍摄照片

CollectInfo，收集扩展名为 .txt、.doc、.docx、.xls、.xlsx、.ppt 和 .pptx 的文件，以及来自 LetsVPN、腾讯 qq、微信、金山 WPS、e2eSoft VCam、酷狗、Oray Sunlogin 和 ToDesk 等应用程序的信息

解码，从远程存储库下载模块并解密

DingTalk，从 DingTalk 获取聊天消息

下载，下载非恶意的 Python 包

FileScanner和FileScannerAllDisk，用于扫描系统中的文件

getOperacookie，从 Opera 浏览器获取 cookie

位置，获取计算机的 IP 地址和 GPS 坐标