行業新聞與部落格

2023 年，一個之前未記錄的高階持續威脅 (APT) 組織 PlushDaemon 進行了一次針對韓國 VPN 軟體的網路間諜行動。

根據 ESET 的最新研究，此次攻擊涉及合法 VPN 安裝程式檔案的洩露，並在原始軟體中嵌入了名為 SlowStepper 的惡意後門。

ESET 報告稱，韓國開發的 VPN IPany 的受惡意軟體感染的安裝程式可在開發商的網站上下載。SlowStepper 是一個功能豐富的後門，擁有超過 30 個模組，旨在進行廣泛的監視和資料收集。

受害者包括韓國半導體和軟體行業的實體，以及中國和日本的個人。ESET 研究人員證實，該行動與 PlushDaemon 有關，後者是一個自 2019 年以來一直活躍的與中國有關的組織。

此次攻擊的主要特徵包括：

• 供應鏈入侵：攻擊者用木馬版本替換合法軟體更新

• 部署：惡意安裝程式部署了一些檔案，以確保 SlowStepper 在受感染系統上的永續性

• 功能：用 C++、Python 和 Go 編寫的 SlowStepper 模組允許資料洩露、音訊和影片錄製以及網路偵察

ESET 的遙測顯示，受感染的軟體是手動下載的，這表明該惡意軟體採取了廣泛的攻擊策略，而非針對特定地區。該惡意軟體還使用 DNS 查詢等高階通訊方法與命令和控制伺服器進行連線。

SlowStepper 的高階功能

SlowStepper 是一種多功能監控工具，具有以下功能：

• 收集系統和使用者資料，包括已安裝的應用程式、網路配置和外圍裝置連線

• 利用 Python 模組執行命令並收集敏感檔案

• 濫用合法工具載入惡意程式碼，維護操作機密性

此次行動凸顯了複雜供應鏈攻擊日益增多的趨勢。PlushDaemon 的策略（例如劫持軟體更新和利用受信任系統中的漏洞）凸顯了強大的供應鏈安全性和主動威脅監控的重要性。

在 ESET 通知開發人員後，IPany 入侵事件得到了緩解，開發人員迅速從其網站上刪除了惡意安裝程式。然而，這起事件提醒人們，針對關鍵行業的網路間諜活動存在風險。

ESET 總結道：“PlushDaemon 工具集中的眾多元件及其豐富的版本歷史表明，儘管之前不為人知，但這個與中國結盟的 APT 組織一直在努力開發各種各樣的工具，這使其成為一個需要警惕的重大威脅。”