行业新闻与博客

2023 年，一个之前未记录的高级持续威胁 (APT) 组织 PlushDaemon 进行了一次针对韩国 VPN 软件的网络间谍行动。

根据 ESET 的最新研究，此次攻击涉及合法 VPN 安装程序文件的泄露，并在原始软件中嵌入了名为 SlowStepper 的恶意后门。

ESET 报告称，韩国开发的 VPN IPany 的受恶意软件感染的安装程序可在开发商的网站上下载。SlowStepper 是一个功能丰富的后门，拥有超过 30 个模块，旨在进行广泛的监视和数据收集。

受害者包括韩国半导体和软件行业的实体，以及中国和日本的个人。ESET 研究人员证实，该行动与 PlushDaemon 有关，后者是一个自 2019 年以来一直活跃的与中国有关的组织。

此次攻击的主要特征包括：

• 供应链入侵：攻击者用木马版本替换合法软件更新

• 部署：恶意安装程序部署了一些文件，以确保 SlowStepper 在受感染系统上的持久性

• 功能：用 C++、Python 和 Go 编写的 SlowStepper 模块允许数据泄露、音频和视频录制以及网络侦察

ESET 的遥测显示，受感染的软件是手动下载的，这表明该恶意软件采取了广泛的攻击策略，而非针对特定地区。该恶意软件还使用 DNS 查询等高级通信方法与命令和控制服务器进行连接。

SlowStepper 的高级功能

SlowStepper 是一种多功能监控工具，具有以下功能：

• 收集系统和用户数据，包括已安装的应用程序、网络配置和外围设备连接

• 利用 Python 模块执行命令并收集敏感文件

• 滥用合法工具加载恶意代码，维护操作机密性

此次行动凸显了复杂供应链攻击日益增多的趋势。PlushDaemon 的策略（例如劫持软件更新和利用受信任系统中的漏洞）凸显了强大的供应链安全性和主动威胁监控的重要性。

在 ESET 通知开发人员后，IPany 入侵事件得到了缓解，开发人员迅速从其网站上删除了恶意安装程序。然而，这起事件提醒人们，针对关键行业的网络间谍活动存在风险。

ESET 总结道：“PlushDaemon 工具集中的众多组件及其丰富的版本历史表明，尽管之前不为人知，但这个与中国结盟的 APT 组织一直在努力开发各种各样的工具，这使其成为一个需要警惕的重大威胁。”