Компанія ESET, що спеціалізується на кібербезпеці, виявила масштабну supply chain атаку на південнокорейського VPN-провайдера IPany. Хакерське угруповання PlushDaemon, пов’язане з Китаєм, успішно впровадило шкідливий бекдор SlowStepper в офіційний дистрибутив VPN-сервісу, що призвело до компрометації численних корпоративних та приватних користувачів.
Анатомія кібератаки: як працює механізм зараження
Зловмисники розробили витончену схему поширення шкідливого програмного забезпечення через легітимний веб-сайт IPany. При завантаженні архіву IPanyVPNsetup.zip користувачі отримували модифікований інсталятор, який разом із встановленням VPN-клієнта впроваджував шкідливі компоненти. Перші випадки інфікування зафіксовано в листопаді 2023 року, переважно на території Японії та Китаю.
Технічний аналіз шкідливого ПЗ SlowStepper
Дослідники виявили використання полегшеної версії бекдору SlowStepper 0.2.10 Lite, що відрізняється підвищеною прихованістю завдяки зменшеному розміру. Шкідливе ПЗ використовує складну систему впровадження через процес PerfWatson.exe, застосовуючи техніку sideloading та маскуючи свою присутність за допомогою файлу-приманки winlogin.gif.
Функціональні можливості бекдору
SlowStepper представляє собою багатокомпонентний бекдор, що містить понад 30 різних модулів. Шкідливе ПЗ, розроблене на мовах Python та Go, має широкий спектр можливостей для кібершпигунства, включаючи запис аудіо та відео, збір системної інформації та віддалене керування інфікованими системами.
Оцінка масштабів загрози та заходи протидії
За даними ESET, під загрозою опинилися всі користувачі, які завантажували IPanyVPN у період з листопада 2023 по травень 2024 року. Серед підтверджених жертв – велика напівпровідникова компанія та розробник програмного забезпечення з Південної Кореї. Після отримання повідомлення про інцидент компанія IPany оперативно видалила скомпрометований інсталятор зі свого сайту.
Цей інцидент демонструє зростаючу небезпеку атак на ланцюжки поставок та необхідність комплексного підходу до кібербезпеки. Користувачам IPanyVPN наполегливо рекомендується провести повне сканування систем на наявність шкідливого ПЗ та оновити програмне забезпечення до актуальної версії. Організаціям варто посилити моніторинг мережевої активності та впровадити додаткові засоби захисту при використанні VPN-сервісів, включаючи багатофакторну автентифікацію та регулярний аудит безпеки.
