Yeni keşfedilen Çinli tehdit grubu Siber casusluk amacıyla veri toplamak için özel bir arka kapı dağıtmayı amaçlayan bir tedarik zinciri saldırısıyla Güney Koreli bir VPN geliştiricisini hedef aldı.
ESET Research’teki araştırmacılar tarafından PlushDaemon olarak adlandırılan grup, kötü amaçlı operasyonlarında genellikle “trafiği saldırganların kontrol ettiği sunuculara yeniden yönlendirerek” Çin uygulamalarının meşru güncellemelerini ele geçirmeyi hedefliyor. bir blog yazısı ESET araştırmacısı Facundo Muñoz tarafından 22 Ocak’ta yayınlandı. “Ayrıca grubun meşru web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemledik” diye yazdı.
Ancak araştırmacılar, grubun Mayıs 2024’te Güney Koreli şirket IPany’nin VPN yazılımının Windows sürümü için bir NSIS yükleyicisine kötü amaçlı kod yerleştirdiğini de keşfettiler; bu, tipik operasyonlarından bir sapmayı temsil ediyor. ESET, IPany’ye bildirimde bulundu ve kötü amaçlı yükleyici şirketin web sitesinden kaldırıldı.
PlushDaemon en az 2019’dan beri aktiftir ve siber casusluk operasyonları Çin anakarası, Tayvan, Hong Kong, Güney Kore, ABD ve Yeni Zelanda’daki bireylere ve kuruluşlara karşı. Grup, kötü amaçlı faaliyetlerinde çeşitli kötü amaçlı yazılım türlerinin özel kullanıcısıdır; özellikle ESET’e göre Windows için SlowStepper adı verilen, virüs bulaşmış makinelerden çeşitli verileri toplamak için kullanılan özel, modüler bir arka kapıdır.
Atipik Tedarik Zinciri Saldırısı
Tedarik zinciri saldırısının ilk işareti Mayıs 2024’te, ESET araştırmacılarının Güney Koreli kullanıcıların IPany web sitesinden indirdiği Windows için bir NSIS yükleyicisinde kötü amaçlı kod tespit ettiğini fark etmesiyle geldi.
“Kurbanların, kötü niyetli bir NSIS yükleyicisini içeren bir ZIP arşivini https://ipany URL’sinden manuel olarak indirdikleri görülüyor.[.]kr/download/IPanyVPNsetup.zip,” diye yazdı Muñoz. Ancak araştırmacılar, indirme sayfasında “örneğin belirli hedeflenen bölgelere veya IP aralıklarına coğrafi çit uygulayarak hedefli indirmeler üretmek için” şüpheli bir kod bulamadılar. “IPany VPN’i kullanan herkes geçerli bir hedef olabilir.”
Birkaç kullanıcı Truva Atı haline getirilmiş yazılımı Güney Kore’deki bir yarı iletken şirketinin ve kimliği belirsiz bir yazılım geliştirme şirketinin ağına yüklemeye çalıştı. Araştırmacılar, daha ileri araştırmalarda kampanya yoluyla daha da eski enfeksiyon vakalarının bulunduğunu, en eski iki vakanın Kasım 2023’te Japonya’daki bir kurbandan ve Aralık 2023’te Çin’deki bir kurbandan geldiğini söyledi.
SlowStepper Arka Kapısı
Tedarik zinciri saldırısındaki yük, PlushDaemon’un 30’dan fazla modüle sahip olan kendi SlowStepper arka kapısıdır. Ancak araştırmacılar, grubun IPany saldırısında arka kapının diğer önceki ve yeni sürümlere göre daha az özellik içeren “lite” sürümünü kullandığını söyledi.
Arka kapı, DNS kullanan çok aşamalı bir komuta ve kontrol (C2) protokolüne sahiptir ve casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirip çalıştırma yeteneğiyle bilinir.
Muñoz, “Hem tam sürüm hem de Lite sürüm, Python ve Go’da programlanmış, kapsamlı veri toplama ve ses ve video kaydetme yoluyla casusluk yapma yeteneklerini içeren bir dizi araçtan yararlanıyor” diye yazdı.
Araştırmacılar, PlushDaemon’un araçlarının, LetMeGo22 hesabı altında Çin platformu GitCode’da barındırılan bir uzak kod deposunda saklandığını buldu. Bu yazının yazıldığı sırada profil gizliydi.
Bir Çinli APT Daha Ortaya Çıktı
Çin’in halihazırda bilinen ve aktif APT’ler ABD ve müttefiklerine karşı düzenli ve ısrarlı bir şekilde siber casusluk faaliyetlerinde bulunanlar. Son zamanların en dikkat çekici operasyonlarından biri süzülme Çin APT tarafından ABD geniş bant sağlayıcı ağlarının listesi Tuz Tayfunu; ancak bu olaya ilişkin soruşturma, 21 Ocak’ta Başkan Trump’ın göreve geri döndüğü ikinci günde, ciddi bir darbe aldı. Siber güvenlik kurulunu kovdu içine bakıyorum.
Ancak Muñoz, PlushDaemon gibi yeni ve sofistike bir aktörün artık gölgelerden çıkmasıyla kuruluşların Çin’den gelen kötü niyetli siber faaliyetlere karşı her zamankinden daha dikkatli olması gerektiğini söyledi.
“PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmemekle birlikte, Çin merkezli bu APT grubunun geniş bir araç yelpazesi geliştirmek için özenle çalıştığını ve bu durumun dikkat edilmesi gereken önemli bir tehdit haline geldiğini gösteriyor” diye yazdı. .
Bu amaçla ESET dahil edildi GitHub deposuna bir bağlantı Bu, uzlaşma göstergelerinin (IoC’ler) ve PlushDaemon etkinliği örneklerinin kapsamlı bir listesini içerir.