Le fournisseur VPN sud-coréen IPany a été piraté lors d’une attaque de la chaîne d’approvisionnement par le groupe de piratage informatique « PlushDaemon » aligné sur la Chine, qui a compromis l’installateur VPN de l’entreprise pour déployer le logiciel malveillant personnalisé « SlowStepper ».
Les pirates ont réussi à infiltrer la plate-forme de développement d’IPany et à insérer sa porte dérobée personnalisée « SlowStepper » sur son programme d’installation (« IPanyVPNsetup.exe’), qui infectait les systèmes des clients lors de l’installation du VPN.
Selon les chercheurs d’ESET qui ont découvert l’attaque de la chaîne d’approvisionnement, les entreprises touchées par l’attaque comprennent une entreprise sud-coréenne de semi-conducteurs et une société de développement de logiciels. Cependant, les premiers signes de victimes infectées remontent à novembre 2023 au Japon.
Activité au pas lent
Les clients IPany sont infectés après avoir téléchargé le programme d’installation ZIP du programme (‘IPanyVPNsetup.zip’) sur le site Web de l’entreprise.
Une fois le programme d’installation exécuté, il installe le produit VPN légitime ainsi que les fichiers malveillants (‘svcghost.exe’), pour lequel une clé d’exécution est ajoutée dans le Registre pour la persistance.
La charge utile du Stepper lent est chargée à partir d’un fichier image (‘winlogin.gif’) via une DLL malveillante (‘lregdll.dll’) qui est chargé sur le côté dans un ‘ PerfWatson.exe ‘ processus. L’exécutable svchost surveille le processus pour s’assurer qu’il est toujours en cours d’exécution.
ESET indique que la version particulière de SlowStepper utilisée dans ces attaques est la 0.2.10 Lite, qui n’est pas aussi complète que la version standard, mais pourrait être plus furtive en raison de son encombrement réduit et reste un outil puissant.
« Les versions complète et Allégée utilisent une gamme d’outils programmés en Python et Go, qui incluent des fonctionnalités de collecte étendue de données et d’espionnage via l’enregistrement d’audio et de vidéos », explique ESET.
Les commandes les plus importantes prises en charge par le Stepper lent sont:
- 0x32-Rassemble une variété de détails sur le système, y compris la marque du processeur, les numéros de série du disque dur, l’ordinateur et le nom d’hôte, l’adresse IP publique, les processus en cours, les applications installées, les interfaces réseau, la mémoire système, la webcam et l’état du microphone, et si le système d’exploitation s’exécute dans une machine virtuelle.
- 0x5A-Récupère et exécute des fichiers à partir du serveur C&C, permettant l’installation de charges utiles supplémentaires.
- 0x3F-Énumérer les fichiers et répertoires sur le système compromis.
- 0x38-Exécutez des outils de logiciels espions basés sur Python conçus pour diverses fonctions d’espionnage, telles que le vol de données de navigateur, l’enregistrement de frappe et la récolte d’informations d’identification.
- 0x3A – (Activation en mode Shell) Permet l’exécution directe des commandes système, fournissant aux attaquants un environnement interactif pour contrôler la machine compromise.
- 0x39-Supprimer des fichiers ou des répertoires spécifiques, qui peuvent être utilisés pour effacer les traces du logiciel malveillant ou perturber les fonctionnalités du système.
- pycall < nom_module> – Charge et exécute des modules de logiciels espions Python spécifiques, tels que « Navigateur » pour voler les données du navigateur, « WeChat, Telegram, DingTalk » pour extraire les journaux de discussion, « ScreenRecord » pour capturer l’activité de l’écran, « Appareil photo » pour prendre des photos à l’aide de la webcam, et « CollectInfo » pour analyser le disque à la recherche de documents sensibles.
Les chercheurs ont contacté le fournisseur de VPN pour les informer de la compromission, et l’installateur malveillant a été supprimé du site Web. Cependant, ceux qui sont déjà infectés doivent prendre des mesures pour nettoyer leurs systèmes.
ESET souligne que la page de téléchargement ne comportait pas de mécanismes de géolocalisation ou d’autres outils pour indiquer un ciblage spécifique, de sorte que toute personne qui a téléchargé IPanyVPN de novembre 2023 (et peut-être plus tôt) jusqu’en mai 2024 a été infectée par SlowStepper.