В 2023 году ранее не документированная группа Advanced Persistent Threat (APT) PlushDaemon провела операцию по кибершпионажу, направленную против южнокорейского программного обеспечения VPN.
Согласно новому исследованию ESET, атака включала взлом легитимных файлов установщика VPN и внедрение вредоносного бэкдора под названием SlowStepper вместе с исходным программным обеспечением. ESET сообщила, что зараженный вредоносным ПО установщик для IPany, VPN, разработанного в Южной Корее, доступен для загрузки на сайте разработчика. SlowStepper — это многофункциональный бэкдор с более чем 30 модулями, предназначенный для обширного наблюдения и сбора данных.
Жертвами стали организации в полупроводниковой и программной отраслях Южной Кореи, а также отдельные лица в Китае и Японии. Исследователи ESET подтвердили связь операции с PlushDaemon, связанной с Китаем группой, которая действует с 2019 года.
Ключевые характеристики атаки включают в себя: • Нарушение цепочки поставок: злоумышленники заменили легитимные обновления программного обеспечения троянизированными версиями. • Развертывание: вредоносный установщик развернул файлы, обеспечивающие сохранение SlowStepper на зараженных системах. • Возможности: Модули SlowStepper, написанные на C++, Python и Go, позволяют осуществлять кражу данных, аудио- и видеозапись, а также сетевую разведку.
Телеметрия ESET показала, что скомпрометированное программное обеспечение загружалось вручную, что предполагает широкую стратегию нацеливания, а не региональную специфику. Вредоносное ПО также использовало передовые методы связи, такие как DNS-запросы, для подключения к серверам управления и контроля.
Узнайте больше об уязвимостях цепочки поставок: CISA призывает к повышению прозрачности цепочки поставок программного обеспечения в США.
Расширенные возможности SlowStepper SlowStepper представляет собой универсальный инструмент наблюдения, способный: • Сбор системных и пользовательских данных, включая установленные приложения, сетевые конфигурации и периферийные соединения. • Использование модулей Python для выполнения команд и сбора конфиденциальных файлов. • Злоупотребление законными инструментами для загрузки вредоносного кода, сохранение операционной секретности.
Эта операция подчеркивает растущую тенденцию сложных атак на цепочки поставок. Тактика PlushDaemon, такая как перехват обновлений программного обеспечения и использование уязвимостей в доверенных системах, подчеркивает важность надежной безопасности цепочек поставок и упреждающего мониторинга угроз.
Компрометация IPany была смягчена после того, как ESET сообщила об этом разработчику, который оперативно удалил вредоносный установщик со своего сайта. Однако инцидент служит напоминанием о рисках, которые представляют собой целевые кампании кибершпионажа против критически важных отраслей.
«Многочисленные компоненты набора инструментов PlushDaemon и его богатая история версий показывают, что эта связанная с Китаем APT-группа, хотя ранее и не была известна, усердно работала над разработкой широкого спектра инструментов, что делает ее серьезной угрозой, за которой следует следить», — заключила компания ESET.
· Полный текст статьи основной сайт: https://krakoziaber.blogspot.com/2025/01/vpn-plushdaemon-apt.html
· Доп олнительная информация: https://krakoziaber.blogspot.com/