韓国の VPN プロバイダー IPany が、中国系ハッキング・グループ「PlushDaemon」によるサプライ・チェーン攻撃を受け、同社の VPN インストーラーに侵入し、カスタム・マルウェア「SlowStepper」を展開させられました。
ハッカーは IPany の開発プラットフォームに侵入し、同社のインストーラー(’IPanyVPNsetup.exe’)にカスタムの「SlowStepper」バックドアを挿入することに成功しました。
このサプライチェーン攻撃を発見したESETの研究者によると、この攻撃によって影響を受けた企業には、韓国の半導体企業やソフトウェア開発企業などが含まれています。しかし、感染した被害者の最初の兆候は、日本では2023年11月までさかのぼります。
SlowStepperの活動
IPanyの顧客は、同社のウェブサイトからプログラムのZIPインストーラー(「IPanyVPNsetup.zip」)をダウンロードした後に感染します。
インストーラーが実行されると、正規のVPN製品だけでなく、悪意のあるファイル(「svcghost.exe」)もインストールされ、レジストリに「実行」キーが追加され、永続化されます。
ソースはこちら:ESET
SlowStepperペイロードは、「PerfWatson.exe」プロセスにサイドロードされる悪意のあるDLL(「lregdll.dll」)を介して、イメージファイル(「winlogin.gif」)からロードされます。svcghost実行ファイルは、プロセスが常に実行されているように監視します。
ESETによると、これらの攻撃で使用されているSlowStepperの特定のバージョンは0.2.10 Liteで、標準バージョンほど完全な機能を備えていませんが、フットプリントが小さいため、よりステルス性が高く、依然として強力なツールです。
「フルバージョンもLiteバージョンも、PythonとGoでプログラムされたツールの数々を利用しており、データの広範な収集や、音声や動画の記録によるスパイ活動を行う機能を備えている」とESETは説明している。
SlowStepperがサポートする最も重要なコマンドは以下の通り:
- 0x32– CPUブランド、HDDシリアル番号、コンピュータとホスト名、パブリックIPアドレス、実行中のプロセス、インストールされているアプリケーション、ネットワーク・インターフェース、システム・メモリ、ウェブカメラ、マイクの状態、OSが仮想マシンで実行されているかどうかなど、様々なシステムの詳細を収集する。
- 0x5A– C&Cサーバーからファイルを取得して実行し、追加のペイロードをインストールできるようにします。
- 0x3F– 侵入したシステム上のファイルとディレクトリを列挙します。
- 0x38– ブラウザデータの窃取、キーロギング、認証情報の採取など、さまざまなスパイ活動用に設計された Python ベースのスパイウェアツールを実行します。
- 0x3A– (シェルモードの有効化) システムコマンドの直接実行を可能にし、攻撃者に侵害されたマシンを制御するための対話型環境を提供します。
- 0x39– 特定のファイルやディレクトリを削除し、マルウェアの痕跡を消したり、システムの機能を妨害したりします。
- pycall <モジュール名> – ブラウザのデータを盗むための「Browser」、チャットのログを抽出するための「WeChat、Telegram、DingTalk」、画面のアクティビティをキャプチャするための「ScreenRecord」、Webカメラを使用して写真を撮影するための「Camera」、機密文書のためにディスクをスキャンするための「CollectInfo」など、特定のPythonスパイウェアモジュールをロードして実行します。
出典:ESETESET
研究者らはVPNベンダーに連絡を取り、この侵害を知らせたところ、悪意のあるインストーラーはウェブサイトから削除された。しかし、すでに感染している人は、システムをクリーンアップするための対策を講じる必要がある。
ESETは、ダウンロードページにはジオフェンシングの仕組みや特定の標的を示すその他のツールはなかったため、2023年11月(およびおそらくそれ以前)から2024年5月までにIPanyVPNをダウンロードした人はSlowStepperに感染していると強調しています。
このキャンペーンに関連する侵害の指標(IoC)の完全なリストは、ここで見つけることができます。
Comments