行業新聞與博客

PlushDaemon APT 瞄準韓國 VPN 軟件

2023 年,一個之前未記錄的高級持續威脅 (APT) 組織 PlushDaemon 進行了一次針對韓國 VPN 軟件的網絡間諜行動。

根據 ESET 的最新研究,此次攻擊涉及合法 VPN 安裝程序文件的泄露,並在原始軟件中嵌入了名為 SlowStepper 的惡意後門。

ESET 報告稱,韓國開發的 VPN IPany 的受惡意軟件感染的安裝程序可在開發商的網站上下載。SlowStepper 是一個功能豐富的後門,擁有超過 30 個模塊,旨在進行廣泛的監視和數據收集。

受害者包括韓國半導體和軟件行業的實體,以及中國和日本的個人。ESET 研究人員證實,該行動與 PlushDaemon 有關,後者是一個自 2019 年以來一直活躍的與中國有關的組織。

此次攻擊的主要特徵包括:

  • 供應鏈入侵:攻擊者用木馬版本替換合法軟件更新

  • 部署:惡意安裝程序部署了一些文件,以確保 SlowStepper 在受感染系統上的持久性

  • 功能:用 C++、Python 和 Go 編寫的 SlowStepper 模塊允許數據泄露、音頻和視頻錄製以及網絡偵察

ESET 的遙測顯示,受感染的軟件是手動下載的,這表明該惡意軟件採取了廣泛的攻擊策略,而非針對特定地區。該惡意軟件還使用 DNS 查詢等高級通信方法與命令和控制服務器進行連接。

SlowStepper 的高級功能

SlowStepper 是一種多功能監控工具,具有以下功能:

  • 收集系統和用户數據,包括已安裝的應用程序、網絡配置和外圍設備連接

  • 利用 Python 模塊執行命令並收集敏感文件

  • 濫用合法工具加載惡意代碼,維護操作機密性

此次行動凸顯了複雜供應鏈攻擊日益增多的趨勢。PlushDaemon 的策略(例如劫持軟件更新和利用受信任系統中的漏洞)凸顯了強大的供應鏈安全性和主動威脅監控的重要性。

在 ESET 通知開發人員後,IPany 入侵事件得到了緩解,開發人員迅速從其網站上刪除了惡意安裝程序。然而,這起事件提醒人們,針對關鍵行業的網絡間諜活動存在風險。

ESET 總結道:“PlushDaemon 工具集中的眾多組件及其豐富的版本歷史表明,儘管之前不為人知,但這個與中國結盟的 APT 組織一直在努力開發各種各樣的工具,這使其成為一個需要警惕的重大威脅。”

需要幫助嗎?聯繫我們的支持團隊 在線客服