Güney Koreli bir VPN sağlayıcısını hedef alan karmaşık bir tedarik zinciri saldırısı. Saldırı, daha önce açıklanmayan, şimdi PlushDaemon olarak adlandırılan Çin bağlantılı Gelişmiş Kalıcı Tehdit (APT) grubuna atfedildi.
Mayıs 2024’te keşfedilen operasyon, Güney Koreli bir şirket tarafından geliştirilen meşru bir VPN yazılımı olan IPany’nin ele geçirilmesini içeriyordu.
PlushDaemon, resmi yükleyiciyi, hem yasal yazılımı hem de SlowStepper adı verilen özel bir arka kapıyı dağıtan kötü amaçlı bir sürümle değiştirdi.
SlowStepper, 30’dan fazla bileşenden oluşan kapsamlı bir araç setine sahip, zengin özelliklere sahip bir implanttır. C++, Python ve Go ile programlanan bu arka kapı, grubun gelişmiş yeteneklerini ve kaynaklarını sergiliyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri
Kötü Amaçlı PeluşDaemon Yükleyicisi
ESET araştırmacıları PlushDaemon’un en az 2019’dan beri aktif olduğuna ve Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki hedeflere karşı casusluk operasyonları yürüttüğüne inanıyor.
Grubun birincil ilk erişim yöntemi, Çin uygulamalarının yasal güncellemelerinin ele geçirilmesini ve trafiğin saldırgan tarafından kontrol edilen sunuculara yönlendirilmesini içeriyor.
Güvenliği ihlal edilen VPN yükleyicisi IPany’nin resmi web sitesinden ZIP arşivi olarak indirilebiliyordu. ESET, hedefli dağıtıma dair hiçbir kanıt bulamadı; bu da herhangi bir IPany VPN kullanıcısının potansiyel bir kurban olabileceğini düşündürüyor.
ESET, bu durumun tespit edilmesi üzerine derhal VPN yazılım geliştiricisine bilgi verdi ve geliştirici daha sonra kötü amaçlı yükleyiciyi web sitesinden kaldırdı.
ESET telemetrisi, birkaç kullanıcının truva atı haline getirilmiş yazılımı Güney Kore’deki bir yarı iletken şirketinin ve kimliği belirsiz bir yazılım geliştirme firmasının ağlarına yüklemeye çalıştığını ortaya çıkardı.
ESET’in telemetrisinde kaydedilen en eski vakalar, Japonya’daki bir kurban için Kasım 2023’e, Çin’deki bir kurban için ise Aralık 2023’e kadar uzanıyor.
Bu tedarik zinciri saldırısı, PlushDaemon’un taktiklerinde önemli bir artışa işaret ediyor ve sadece Çin uygulamalarını değil aynı zamanda Güney Koreli yazılım sağlayıcılarını da tehlikeye atma yeteneklerini gösteriyor.
Grubun VPN hizmetlerine odaklanması özellikle endişe verici çünkü bu araçlar genellikle hassas iletişimleri ve veri aktarımlarını güvence altına almak için kullanılıyor.
PlushDaemon’un keşfi ve faaliyetleri, devlet destekli siber casusluk kampanyalarının oluşturduğu süregelen tehdidin altını çiziyor. Yazılım tedarik zinciri boyunca sağlam güvenlik önlemlerinin öneminin yanı sıra gelişen siber tehditlere karşı sürekli dikkatli olunması gerektiğinin altını çiziyor.
Siber güvenlik ortamındaki gerilimler artmaya devam ederken bu olay, ulus devlet aktörlerinin kullandığı karmaşık taktiklerin açık bir hatırlatıcısı olarak hizmet ediyor. Kuruluşlar ve bireyler, güvenilir görünen yazılım kaynaklarıyla bile ilişkili potansiyel risklere karşı tetikte olmalıdır.
ESET’in PlushDaemon ve SlowStepper arka kapısına yönelik araştırması, siber güvenlik topluluğu için değerli bilgiler sağlıyor.
Gelecekteki benzer saldırılara karşı daha iyi tespit ve önleme stratejileri sağlarken, aynı zamanda Çin’e bağlı APT gruplarının gelişen taktiklerine de ışık tutuyor.
Soruşturmalar devam ederken, siber güvenlik uzmanları IPany VPN ve benzeri hizmetlerin kullanıcılarını yazılım kurulumlarının bütünlüğünü doğrulamaya ve herhangi bir güvenlik ihlali belirtisine karşı dikkatli olmaya çağırıyor.
PlushDaemon tedarik zinciri saldırısı için Uzlaşma Göstergelerini (IoC’ler) özetleyen bir tablo:
| SHA-1 | Dosya adı | Algılama | Tanım |
|---|---|---|---|
| A8AE42884A8EDFA17E9D67AE5BEBE7D196C3A7BF | AutoMsg.dll | Win32/ShellcodeRunner.GZ | İlk yükleyici DLL’si |
| 2DB60F0ADEF14F4AB3573F8309E6FB135F67ED7D | lregdll.dll | Win32/Agent.AGUU | SlowStepper arka kapısı için Yükleyici DLL’si |
| 846C025F696DA1F6808B9101757C005109F3CF3D | OldLJM.dll | Win32/Agent.AGXL | EncMgr.pkg dosyasından çıkarılan ve bellekte yürütülen yükleyici DLL’si |
| AD4F0428FC9290791D550EEDDF171AFF046C4C2C | svcghost.exe | Win32/Agent.AGUU | Lregdll.dll dosyasını yan yüklemek için PerfWatson.exe veya RuntimeSvc.exe’yi başlatan işlem izleme bileşeni |
| 401571851A7CF71783A4CB902DB81084F0A97F85 | ana.dll | Win32/Agent.AEIJ | Şifresi çözülmüş SlowStepper arka kapı bileşeni |
| 068FD2D209C0BBB0C6FC14E88D63F92441163233 | IPanyVPNsetup.exe | Win32/ShellcodeRunner.GZ | SlowStepper implantı ve meşru IPany VPN yazılımı içeren kötü amaçlı IPany yükleyicisi |
Bu IoC’ler, PlushDaemon tehdidini tanımlamak ve azaltmak için önemli bilgiler sağlar. Güvenlik ekipleri, sistemlerini ve ağlarını olası tehlikelere karşı taramak için bu dosya karmalarını ve adlarını kullanmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free