Исследователи ESET обнаружили активность новой китайской APT-группы PlushDaemon, занимающейся кибершпионажем. Группа скомпрометировала цепочку поставок VPN-сервиса в Южной Корее, заменив легитимный установщик на измененный, содержащий бэкдор SlowStepper.
Описание
SlowStepper - многофункциональный бэкдор с более чем 30 компонентами, программированными на C++, Python и Go. PlushDaemon стремится получать доступ к целям путем перехвата легитимных обновлений и уязвимостей в веб-серверах.
Обнаружен вредоносный код в установщике NSIS для Windows, загружавшемся с сайта VPN-программного обеспечения IPany, разработанного южнокорейской компанией. Установщик устанавливал легитимное ПО и SlowStepper, связанное с PlushDaemon. Компания разработчик VPN была уведомлена о нарушении, и вредоносный установщик удален. PlushDaemon действует с 2019 года против целей в разных странах, используя свой пользовательский бэкдор SlowStepper и метод перехвата обновлений.
Атаки удавалось осуществлять через загрузку вредоносного установщика с сайта IPanyVPN, а затем жертвы были компрометированы. PlushDaemon применяет технику перенаправления трафика на контролируемые серверы и получает доступ через неопознанные уязвимости. Телеметрия ESET выявила попытки установки вредоносного ПО в корейские компании, анализ показал создание директорий и постоянство для SlowStepper при запуске вредоносного установщика. SlowStepper программируется для выполнения последующих шагов при старте Windows и загружает другие компоненты, такие как EncMgr.pkg, развертывая шпионские операции.
Таким образом, PlushDaemon демонстрирует сложную кибершпионскую операцию, используя бэкдор SlowStepper и техники перехвата обновлений для проведения хакерских атак на цели в различных странах, включая Южную Корею.
Индикаторы компрометации
IPv4
- 120.24.193.58
- 202.105.1.187
- 202.189.8.193
- 202.189.8.69
- 202.189.8.72
- 202.189.8.87
- 47.104.138.190
- 47.108.162.218
- 47.113.200.18
- 47.74.159.166
- 47.92.6.64
- 47.96.17.237
- 8.130.87.195
Domains
- 7051.gsm.360safe.company
- agt.wcsset.com
- reverse.wcsset.com
- st.360safe.company
SHA1
- 068fd2d209c0bbb0c6fc14e88d63f92441163233
- 2db60f0adef14f4ab3573f8309e6fb135f67ed7d
- 401571851a7cf71783a4cb902db81084f0a97f85
- 846c025f696da1f6808b9101757c005109f3cf3d
- a8ae42884a8edfa17e9d67ae5bebe7d196c3a7bf
- ad4f0428fc9290791d550eeddf171aff046c4c2c