ESET araştırmacıları, yeni tanımlanan Çin’e uyumlu bir APT grubu olan PlushDaemon tarafından Güney Koreli bir VPN sağlayıcısını hedef alan bir tedarik zinciri saldırısını ortaya çıkardı.
Bu siber casusluk kampanyasında saldırganlar meşru yükleyicinin güvenliğini ihlal ederek onu grubun özel arka kapısı SlowStepper’ı dağıtan kötü amaçlı bir sürümle değiştirdiler. Bu sofistike arka kapı, 30’dan fazla bileşenden oluşan bir araç setine sahiptir. PlushDaemon en az 2019’dan bu yana Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki bireylere ve kuruluşlara karşı casusluk operasyonları yürütüyor.
SlowStepper’ın yürütülmesi (Kaynak: ESET)
“Mayıs 2024’te, Güney Koreli kullanıcıların meşru VPN yazılımı IPany’nin web sitesinden indirdikleri Windows için bir NSIS yükleyicisinde kötü amaçlı kod tespit edildiğini fark ettik. Daha ayrıntılı analizlerde yükleyicinin hem yasal yazılımı hem de arka kapıyı dağıttığını keşfettik. Güvenliği ihlal konusunda onları bilgilendirmek için VPN yazılımı geliştiricisiyle iletişime geçtik ve kötü amaçlı yükleyici web sitesinden kaldırıldı,” diyor keşfi yapan ESET araştırmacısı Facundo Muñoz.
Buna ek olarak PlushDaemon, trafiği saldırgan tarafından kontrol edilen sunuculara yönlendirerek Çin uygulamalarının yasal güncellemelerini ele geçirerek ilk erişimi elde ediyor. Araştırmacılar ayrıca grubun meşru web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını da gözlemledi.
SlowStepper arka kapısı yalnızca PlushDaemon tarafından kullanılır. Bu arka kapı, DNS kullanan çok aşamalı C&C protokolü ve casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirip çalıştırma yeteneği ile dikkat çekiyor.
Kötü amaçlı yazılım, web tarayıcılarından çok çeşitli veriler toplar; fotoğraf çekebilir; belgeler için taramalar; mesajlaşma uygulamaları (örn. WeChat, Telegram) dahil olmak üzere çeşitli uygulamalardan bilgi toplar; ses ve video yoluyla casusluk yapabilir; ve şifre kimlik bilgilerini çalar.
“PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmemekle birlikte, Çin merkezli bu APT grubunun geniş bir araç yelpazesi geliştirmek için özenle çalıştığını ve bu durumun dikkat edilmesi gereken önemli bir tehdit haline geldiğini gösteriyor. ” diye bitiriyor Munoz.