23/01/25
Южнокорейский VPN-провайдер IPany оказался в центре крупной кибератаки, совершённой группировкой PlushDaemon, предположительно связанной с Китаем. Злоумышленники проникли в систему разработчика и внесли изменения в установщик IPanyVPN, в результате чего при скачивании и установке программы с официального сайта пользователи заражались бэкдором под названием SlowStepper, пишет Securitylab.
По данным исследователей из ESET, компрометация началась как минимум в ноябре 2023 года и продолжалась до мая 2024-го, хотя точные временные рамки пока не установлены. Специалисты подчёркивают, что атака была ориентирована не только на пользователей в Южной Корее — первые признаки заражения были обнаружены в Японии.
После проникновения в систему разработчика IPany, хакеры PlushDaemon встроили вредоносный компонент в исполняемый файл «IPanyVPNsetup.exe», который загружался вместе с архивом «IPanyVPNsetup.zip». Пользователи, ничего не подозревая, устанавливали и легитимное VPN-приложение, и вредоносный код, обеспечивавший хакерам доступ к системе.
Вредоносная программа прописывалась в реестре Windows, чтобы автоматически запускаться при каждом запуске компьютера, а также использовала механизмы DLL Sideloading для маскировки своей активности.
По словам экспертов ESET, использованная версия SlowStepper (обозначенная как 0.2.10 Lite) хоть и имеет упрощённый функционал, остаётся достаточно опасной и скрытной. Основная задача этого бэкдора — сбор разведданных и расширенная шпионская деятельность: начиная от простой кражи учётных данных и заканчивая записью звука и видео.
Кроме того, у SlowStepper есть возможность скачивать и запускать дополнительное вредоносное ПО, что даёт киберпреступникам ещё более широкий инструментарий для атаки на скомпрометированную систему.
На данный момент достоверно известно о заражении как минимум двух организаций в Южной Корее — полупроводниковой компании и фирмы, специализирующейся на разработке ПО. Названия организаций не разглашаются.
Тем не менее, поскольку вредоносная версия установщика находилась в открытом доступе на официальном сайте IPany, исследователи не исключают, что атака могла коснуться куда большего числа пользователей и компаний по всему миру.
Представители ESET уведомили IPany о компрометации, и вредоносная сборка была удалена с сайта. Однако эксперты подчёркивают, что пользователи, установившие VPN-клиент в период с ноября 2023 года до весны 2024-го, уже могут быть заражены.
В связи с этим всем, кто скачивал программное обеспечение с официального сайта за указанный промежуток времени, рекомендуется немедленно проверить свои системы на наличие SlowStepper и связанных с ним компонентов, а при необходимости — переустановить VPN-клиент и выполнить полную ревизию безопасности, включая смену паролей и перепроверку критически важных данных.
Хотя подобные атаки на цепочку поставок встречаются всё чаще, случай с IPany выглядит особенно влиятельным, поскольку вектор был сосредоточен на многокомпонентном вредоносном инструменте, способном не только выполнять шпионские функции, но и полноценно управлять заражённой системой.
