PlushDaemon компрометирует цепочку поставок корейского VPN-сервиса

security

Исследователи ESET обнаружили активность новой китайской APT-группы PlushDaemon, занимающейся кибершпионажем. Группа скомпрометировала цепочку поставок VPN-сервиса в Южной Корее, заменив легитимный установщик на измененный, содержащий бэкдор SlowStepper.

Описание

SlowStepper - многофункциональный бэкдор с более чем 30 компонентами, программированными на C++, Python и Go. PlushDaemon стремится получать доступ к целям путем перехвата легитимных обновлений и уязвимостей в веб-серверах.

Обнаружен вредоносный код в установщике NSIS для Windows, загружавшемся с сайта VPN-программного обеспечения IPany, разработанного южнокорейской компанией. Установщик устанавливал легитимное ПО и SlowStepper, связанное с PlushDaemon. Компания разработчик VPN была уведомлена о нарушении, и вредоносный установщик удален. PlushDaemon действует с 2019 года против целей в разных странах, используя свой пользовательский бэкдор SlowStepper и метод перехвата обновлений.

Атаки удавалось осуществлять через загрузку вредоносного установщика с сайта IPanyVPN, а затем жертвы были компрометированы. PlushDaemon применяет технику перенаправления трафика на контролируемые серверы и получает доступ через неопознанные уязвимости. Телеметрия ESET выявила попытки установки вредоносного ПО в корейские компании, анализ показал создание директорий и постоянство для SlowStepper при запуске вредоносного установщика. SlowStepper программируется для выполнения последующих шагов при старте Windows и загружает другие компоненты, такие как EncMgr.pkg, развертывая шпионские операции.

Таким образом, PlushDaemon демонстрирует сложную кибершпионскую операцию, используя бэкдор SlowStepper и техники перехвата обновлений для проведения хакерских атак на цели в различных странах, включая Южную Корею.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. SHA1

IPv4

  • 120.24.193.58
  • 202.105.1.187
  • 202.189.8.193
  • 202.189.8.69
  • 202.189.8.72
  • 202.189.8.87
  • 47.104.138.190
  • 47.108.162.218
  • 47.113.200.18
  • 47.74.159.166
  • 47.92.6.64
  • 47.96.17.237
  • 8.130.87.195

Domains

  • 7051.gsm.360safe.company
  • agt.wcsset.com
  • reverse.wcsset.com
  • st.360safe.company

SHA1

  • 068fd2d209c0bbb0c6fc14e88d63f92441163233
  • 2db60f0adef14f4ab3573f8309e6fb135f67ed7d
  • 401571851a7cf71783a4cb902db81084f0a97f85
  • 846c025f696da1f6808b9101757c005109f3cf3d
  • a8ae42884a8edfa17e9d67ae5bebe7d196c3a7bf
  • ad4f0428fc9290791d550eeddf171aff046c4c2c
Комментарии: 0