Cybersicherheitsforscher von ESET haben eine schwerwiegende Supply-Chain-Attacke aufgedeckt, die den südkoreanischen VPN-Anbieter IPany zum Ziel hatte. Die chinesische APT-Gruppe PlushDaemon konnte erfolgreich eine Backdoor namens SlowStepper in den offiziellen VPN-Installer einschleusen, wodurch zahlreiche Systeme kompromittiert wurden.
Anatomie des Angriffs: Manipulation der Vertriebskette
Die Angreifer implementierten eine ausgeklügelte Strategie zur Malware-Verteilung über die offizielle Website von IPany. Der kompromittierte Installer wurde zwischen November 2023 und Mai 2024 aktiv verbreitet, wobei die Mehrheit der Infektionen in Japan und China registriert wurde. Beim Download der Datei IPanyVPNsetup.zip erhielten Nutzer einen modifizierten Installer, der neben der legitimen VPN-Software auch schädliche Komponenten installierte.
Technische Analyse der SlowStepper-Backdoor
Die Sicherheitsforscher identifizierten eine optimierte Version der Backdoor (SlowStepper 0.2.10 Lite), die sich durch verbesserte Tarnfähigkeiten auszeichnet. Die Malware nutzt eine komplexe Einschleusungsmethode über den PerfWatson.exe-Prozess und verwendet DLL-Sideloading in Kombination mit einer Tarndatei (winlogin.gif) zur Verschleierung ihrer Aktivitäten.
Funktionsumfang und Fähigkeiten
SlowStepper präsentiert sich als hochentwickelte Spionage-Plattform mit über 30 verschiedenen Modulen. Die in Python und Go entwickelte Malware verfügt über umfangreiche Überwachungsfunktionen, darunter Audio- und Videoaufzeichnung, Systemdatenerfassung und Remote-Kontrolle infizierter Systeme.
Betroffene Unternehmen und Schadenausmaß
Zu den bestätigten Opfern zählen ein führender Halbleiterhersteller sowie ein Software-Entwicklungsunternehmen aus Südkorea. Nach Bekanntwerden des Vorfalls reagierte IPany umgehend und entfernte den kompromittierten Installer von seinen Servern. Die genaue Anzahl betroffener Systeme ist noch unbekannt, Experten gehen jedoch von einer signifikanten Größenordnung aus.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply-Chain-Attacken im Bereich der Cybersicherheit. Unternehmen und Privatanwender, die IPanyVPN im genannten Zeitraum installiert haben, sollten umgehend eine vollständige Systemprüfung durchführen und ihre Software aktualisieren. Zusätzlich empfiehlt sich die Implementierung mehrschichtiger Sicherheitsmaßnahmen, einschließlich erweitertem Netzwerk-Monitoring und der Nutzung vertrauenswürdiger Security-Tools zur Erkennung und Prävention ähnlicher Angriffe.
