దక్షిణ కొరియా VPN ప్రొవైడర్ను లక్ష్యంగా చేసుకున్న అధునాతన సరఫరా-గొలుసు దాడి. ఈ దాడికి మునుపు వెల్లడించని చైనా-అలైన్డ్ అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ ఆపాదించబడింది, ఇప్పుడు దీనికి PlushDaemon అని పేరు పెట్టారు.
మే 2024లో కనుగొనబడిన ఈ ఆపరేషన్, దక్షిణ కొరియా కంపెనీచే అభివృద్ధి చేయబడిన చట్టబద్ధమైన VPN సాఫ్ట్వేర్ అయిన IPany యొక్క రాజీని కలిగి ఉంది.
PlushDaemon అధికారిక ఇన్స్టాలర్ను హానికరమైన సంస్కరణతో భర్తీ చేసింది, ఇది చట్టబద్ధమైన సాఫ్ట్వేర్ మరియు స్లోస్టెప్పర్ అనే కస్టమ్ బ్యాక్డోర్ రెండింటినీ అమలు చేసింది.
హానికరమైన పేజీ ఇన్స్టాలర్
SlowStepper అనేది 30కి పైగా భాగాలతో కూడిన విస్తృతమైన టూల్కిట్తో కూడిన ఫీచర్-రిచ్ ఇంప్లాంట్. C++, Python మరియు Goలో ప్రోగ్రామ్ చేయబడిన ఈ బ్యాక్డోర్ సమూహం యొక్క అధునాతన సామర్థ్యాలు మరియు వనరులను ప్రదర్శిస్తుంది.
హానికరమైన PlushDaemon ఇన్స్టాలర్
చైనా, తైవాన్, హాంకాంగ్, దక్షిణ కొరియా, యునైటెడ్ స్టేట్స్ మరియు న్యూజిలాండ్లోని లక్ష్యాలకు వ్యతిరేకంగా గూఢచర్య కార్యకలాపాలను నిర్వహిస్తూ, ప్లష్డేమన్ కనీసం 2019 నుండి క్రియాశీలకంగా ఉందని ESETపరిశోధకులు విశ్వసిస్తున్నారు.
సమూహం యొక్క ప్రాధమిక యాక్సెస్ యొక్క ప్రాథమిక పద్ధతి చైనీస్ అప్లికేషన్ల యొక్క చట్టబద్ధమైన అప్డేట్లను హైజాక్ చేయడం మరియు అటాకర్-నియంత్రిత సర్వర్లకు ట్రాఫిక్ను దారి మళ్లించడం.
రాజీపడిన VPN ఇన్స్టాలర్ IPany యొక్క అధికారిక వెబ్సైట్ నుండి జిప్ ఆర్కైవ్గా డౌన్లోడ్ చేసుకోవడానికి అందుబాటులో ఉంది. ESET లక్ష్య పంపిణీకి ఎటువంటి ఆధారాలు కనుగొనలేదు, ఏదైనా IPany VPN వినియోగదారు సంభావ్య బాధితుడు కావచ్చని సూచిస్తున్నారు.
కనుగొనబడిన తర్వాత, ESET వెంటనే VPN సాఫ్ట్వేర్ డెవలపర్కు తెలియజేసింది, వారు తమ వెబ్సైట్ నుండి హానికరమైన ఇన్స్టాలర్ను తొలగించారు.
దక్షిణ కొరియాలోని సెమీకండక్టర్ కంపెనీ మరియు గుర్తించబడని సాఫ్ట్వేర్ డెవలప్మెంట్ సంస్థ నెట్వర్క్లలో అనేక మంది వినియోగదారులు ట్రోజనైజ్డ్ సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయడానికి ప్రయత్నించారని ESET టెలిమెట్రీ వెల్లడించింది.
ESET యొక్క టెలిమెట్రీలో నమోదైన పురాతన కేసులు జపాన్లోని ఒక బాధితురాలి కోసం నవంబర్ 2023 మరియు చైనాలో బాధితురాలికి డిసెంబర్ 2023 నాటివి.
ఈ సరఫరా-గొలుసు దాడి PlushDaemon యొక్క వ్యూహాలలో గణనీయమైన పెరుగుదలను సూచిస్తుంది, కేవలం చైనీస్ అప్లికేషన్లను మాత్రమే కాకుండా దక్షిణ కొరియా సాఫ్ట్వేర్ ప్రొవైడర్లను కూడా రాజీ చేసే వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.
ఈ సాధనాలు తరచుగా సున్నితమైన కమ్యూనికేషన్లు మరియు డేటా బదిలీలను సురక్షితంగా ఉంచడానికి ఉపయోగించబడుతున్నందున, VPN సేవలపై సమూహం యొక్క దృష్టి ప్రత్యేకించి సంబంధించినది.
PlushDaemon యొక్క ఆవిష్కరణ మరియు దాని కార్యకలాపాలు రాష్ట్ర-ప్రాయోజిత సైబర్ గూఢచర్య ప్రచారాల ద్వారా కొనసాగుతున్న ముప్పును హైలైట్ చేస్తుంది. ఇది సాఫ్ట్వేర్ సరఫరా గొలుసు అంతటా పటిష్టమైన భద్రతా చర్యల యొక్క ప్రాముఖ్యతను, అలాగే అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపులకు వ్యతిరేకంగా నిరంతరం అప్రమత్తంగా ఉండవలసిన అవసరాన్ని నొక్కి చెబుతుంది.
సైబర్ సెక్యూరిటీ ల్యాండ్స్కేప్లో ఉద్రిక్తతలు పెరుగుతూనే ఉన్నందున, ఈ సంఘటన దేశ-రాష్ట్ర నటులు ఉపయోగించే అధునాతన వ్యూహాలను పూర్తిగా గుర్తు చేస్తుంది. సంస్థలు మరియు వ్యక్తులు ఒకే విధంగా నమ్మదగిన సాఫ్ట్వేర్ మూలాలతో సంబంధం ఉన్న సంభావ్య ప్రమాదాల పట్ల అప్రమత్తంగా ఉండాలి.
PlushDaemon మరియు SlowStepper బ్యాక్డోర్పై ESET పరిశోధన సైబర్ సెక్యూరిటీ కమ్యూనిటీకి విలువైన అంతర్దృష్టులను అందిస్తుంది.
ఇది భవిష్యత్తులో ఇలాంటి దాడులకు వ్యతిరేకంగా మెరుగైన గుర్తింపు మరియు నివారణ వ్యూహాలను అనుమతిస్తుంది, అదే సమయంలో చైనా-అలైన్డ్ APT సమూహాల అభివృద్ధి చెందుతున్న వ్యూహాలపై కూడా వెలుగునిస్తుంది.
పరిశోధనలు కొనసాగుతున్నందున, సైబర్ సెక్యూరిటీ నిపుణులు IPany VPN మరియు సారూప్య సేవల వినియోగదారులను వారి సాఫ్ట్వేర్ ఇన్స్టాలేషన్ల సమగ్రతను ధృవీకరించాలని మరియు రాజీ సంకేతాల కోసం అప్రమత్తంగా ఉండాలని కోరారు.
PlushDaemon సరఫరా-గొలుసు దాడి కోసం రాజీ సూచికల (IoCలు) సంగ్రహించే పట్టిక ఇక్కడ ఉంది:
SHA-1
ఫైల్ పేరు
డిటెక్షన్
వివరణ
A8AE42884A8EDFA17E9D67AE5BEBE7D196C3A7BF
AutoMsg.dll
Win32/ShellcodeRunner.GZ
ప్రారంభ లోడర్ DLL
2DB60F0ADEF14F4AB3573F8309E6FB135F67ED7D
lregdll.dll
Win32/Agent.AGUU
స్లోస్టెప్పర్ బ్యాక్డోర్ కోసం లోడర్ DLL
846C025F696DA1F6808B9101757C005109F3CF3D
OldLJM.dll
Win32/Agent.AGXL
ఇన్స్టాలర్ DLL, EncMgr.pkg నుండి సంగ్రహించబడింది మరియు మెమరీలో అమలు చేయబడింది
AD4F0428FC9290791D550EEDDF171AFF046C4C2C
svcghost.exe
Win32/Agent.AGUU
lregdll.dllని సైడ్-లోడ్ చేయడానికి PerfWatson.exe లేదా RuntimeSvc.exeని ప్రారంభించే ప్రాసెస్ మానిటర్ కాంపోనెంట్
401571851A7CF71783A4CB902DB81084F0A97F85
main.dll
Win32/Agent.AEIJ
డీక్రిప్టెడ్ స్లోస్టెప్పర్ బ్యాక్డోర్ కాంపోనెంట్
068FD2D209C0BBB0C6FC14E88D63F92441163233
IPanyVPNsetup.exe
Win32/ShellcodeRunner.GZ
SlowStepper ఇంప్లాంట్ మరియు చట్టబద్ధమైన IPany VPN సాఫ్ట్వేర్ను కలిగి ఉన్న హానికరమైన IPany ఇన్స్టాలర్
PlushDaemon ముప్పును గుర్తించడం మరియు తగ్గించడం కోసం ఈ IoCలు కీలకమైన సమాచారాన్ని అందిస్తాయి. భద్రతా బృందాలు సంభావ్య రాజీల కోసం వారి సిస్టమ్లు మరియు నెట్వర్క్లను స్కాన్ చేయడానికి ఈ ఫైల్ హ్యాష్లు మరియు పేర్లను ఉపయోగించాలి.
