Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

SlowStepper захватил десятки тысяч ПК через корейский VPN

23/01/25

IPany-VPN-Breached-by-Hackers-Planting-Backdoor-on-Installer

Южнокорейский VPN-провайдер IPany оказался в центре крупной кибератаки, совершённой группировкой PlushDaemon, предположительно связанной с Китаем. Злоумышленники проникли в систему разработчика и внесли изменения в установщик IPanyVPN, в результате чего при скачивании и установке программы с официального сайта пользователи заражались бэкдором под названием SlowStepper, пишет Securitylab.

По данным исследователей из ESET, компрометация началась как минимум в ноябре 2023 года и продолжалась до мая 2024-го, хотя точные временные рамки пока не установлены. Специалисты подчёркивают, что атака была ориентирована не только на пользователей в Южной Корее — первые признаки заражения были обнаружены в Японии.

После проникновения в систему разработчика IPany, хакеры PlushDaemon встроили вредоносный компонент в исполняемый файл «IPanyVPNsetup.exe», который загружался вместе с архивом «IPanyVPNsetup.zip». Пользователи, ничего не подозревая, устанавливали и легитимное VPN-приложение, и вредоносный код, обеспечивавший хакерам доступ к системе.

Вредоносная программа прописывалась в реестре Windows, чтобы автоматически запускаться при каждом запуске компьютера, а также использовала механизмы DLL Sideloading для маскировки своей активности.

По словам экспертов ESET, использованная версия SlowStepper (обозначенная как 0.2.10 Lite) хоть и имеет упрощённый функционал, остаётся достаточно опасной и скрытной. Основная задача этого бэкдора — сбор разведданных и расширенная шпионская деятельность: начиная от простой кражи учётных данных и заканчивая записью звука и видео.

Кроме того, у SlowStepper есть возможность скачивать и запускать дополнительное вредоносное ПО, что даёт киберпреступникам ещё более широкий инструментарий для атаки на скомпрометированную систему.

На данный момент достоверно известно о заражении как минимум двух организаций в Южной Корее — полупроводниковой компании и фирмы, специализирующейся на разработке ПО. Названия организаций не разглашаются.

Тем не менее, поскольку вредоносная версия установщика находилась в открытом доступе на официальном сайте IPany, исследователи не исключают, что атака могла коснуться куда большего числа пользователей и компаний по всему миру.

Представители ESET уведомили IPany о компрометации, и вредоносная сборка была удалена с сайта. Однако эксперты подчёркивают, что пользователи, установившие VPN-клиент в период с ноября 2023 года до весны 2024-го, уже могут быть заражены.

В связи с этим всем, кто скачивал программное обеспечение с официального сайта за указанный промежуток времени, рекомендуется немедленно проверить свои системы на наличие SlowStepper и связанных с ним компонентов, а при необходимости — переустановить VPN-клиент и выполнить полную ревизию безопасности, включая смену паролей и перепроверку критически важных данных.

Хотя подобные атаки на цепочку поставок встречаются всё чаще, случай с IPany выглядит особенно влиятельным, поскольку вектор был сосредоточен на многокомпонентном вредоносном инструменте, способном не только выполнять шпионские функции, но и полноценно управлять заражённой системой.

Темы:ПреступленияESETVPN
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...