Специалисты по кибербезопасности из компании ESET обнаружили серьезную атаку на цепочку поставок, направленную против южнокорейского VPN-провайдера IPany. Китайская хакерская группа PlushDaemon успешно внедрила вредоносный бэкдор SlowStepper в официальный установщик VPN-сервиса, что привело к компрометации систем множества пользователей.
Механизм атаки и распространение вредоносного ПО
Злоумышленники реализовали сложную схему распространения вредоносного ПО через официальный сайт IPany. При загрузке архива IPanyVPNsetup.zip пользователи получали модифицированный установщик, который помимо легитимного VPN-клиента устанавливал вредоносные компоненты. Первые случаи заражения были зафиксированы в ноябре 2023 года, преимущественно в Японии и Китае.
Технические особенности SlowStepper
Исследователи выявили использование облегченной версии бэкдора SlowStepper 0.2.10 Lite, которая отличается повышенной скрытностью за счет уменьшенного размера. Вредоносное ПО использует сложную систему внедрения через процесс PerfWatson.exe, применяя технику sideloading и маскируя свое присутствие с помощью файла-приманки winlogin.gif.
Основные возможности вредоносного ПО
SlowStepper представляет собой многофункциональный бэкдор, включающий более 30 различных компонентов. Вредоносное ПО, написанное на Python и Go, обладает широким спектром возможностей для кибершпионажа, включая запись аудио и видео, сбор системной информации и удаленное управление зараженными системами.
Масштаб угрозы и рекомендации по безопасности
По данным ESET, под угрозой находятся все пользователи, загружавшие IPanyVPN в период с ноября 2023 по май 2024 года. Среди подтвержденных жертв – крупная полупроводниковая компания и разработчик программного обеспечения из Южной Кореи. После уведомления об инциденте компания IPany оперативно удалила скомпрометированный установщик со своего сайта.
Данный инцидент подчеркивает растущую угрозу атак на цепочки поставок и важность комплексного подхода к кибербезопасности. Всем пользователям IPanyVPN настоятельно рекомендуется провести полное сканирование систем на предмет заражения и обновить программное обеспечение до последней версии. Организациям следует усилить мониторинг сетевой активности и внедрить дополнительные меры защиты при использовании VPN-сервисов.
