СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.01.2025
#Dev#ИБ#Инфра

Кибершпионаж: атака PlushDaemon на южнокорейский VPN-провайдер

Кибершпионаж: атака PlushDaemon на южнокорейский VPN-провайдер

Изображение: www.welivesecurity.com

Исследователи компании ESET раскрыли новую атаку по цепочке поставок, осуществленную китайской APT-группой PlushDaemon против провайдера VPN в Южной Корее. Данная атака была связана с компрометацией программного обеспечения VPN, разработанного южнокорейской компанией, посредством замены законного установщика на вредоносный.

Атака с использованием бэкдора SlowStepper

Злоумышленники использовали сигнатурный имплантат, известный как SlowStepper — сложный бэкдор с набором инструментов, включающим более 30 компонентов. PlushDaemon осуществляет атаки, в основном нацеленные на кибершпионarge, и идентифицируется как хакерская группировка, связанная с Китаем.

Основные особенности группы PlushDaemon:

  • Специализация на кибершпионаже.
  • Использование перехвата законных обновлений китайских приложений.
  • Активность с 2019 года во многих странах, включая Китай, Тайвань, Гонконг, Южную Корею, США и Новую Зеландию.

Компрометация программного обеспечения

В мае 2024 года был обнаружен вредоносный код в установщике NSIS для Windows, который был загружен пользователями в Южной Корее с официального сайта программного обеспечения IPany для VPN. Дальнейший анализ показал, что взломанный установщик установил как легальное программное обеспечение, так и бэкдор SlowStepper.

Исследователи ESET незамедлительно проинформировали разработчика о взломе, что привело к удалению вредоносного установщика с их веб-сайта.

Функции бэкдора SlowStepper

Вредоносный установщик IPanyVPNsetup.exe после запуска выполнял следующие действия:

  • Создание каталогов.
  • Развертывание легальных и вредоносных файлов.
  • Добавление записи в реестр Windows для обеспечения постоянного запуска бэкдора.

Бэкдор использует различные компоненты, такие как AutoMsg.dll loader и svcghost.exe, для поддержания своего присутствия в системе. Он спроектирован на языках C++, Python и Go и способен динамически получать адреса C&C-серверов.

Проблемы безопасности и меры предосторожности

Использование группы PlushDaemon сложных инструментов и методов подчеркивает меняющийся ландшафт угроз, создаваемых такими группами APT, ориентированными на национальные интересы. Организациям следует сохранять бдительность и принимать строгие меры безопасности для снижения рисков, связанных с такими целенаправленными атаками.

“Обнаружение группы PlushDaemon и использование ей бэкдора SlowStepper демонстрирует передовые возможности в области кибершпионажа,” — отмечают исследователи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: