Güney Koreli VPN sağlayıcısı iPany, özel 'Slowstepper' malware'i dağıtmak için şirketin VPN yükleyicisini tehlikeye atan "Plushdaemon" Çin'e uyumlu hackleme grubu tarafından bir tedarik zinciri saldırısında ihlal edildi.
Bilgisayar korsanları, iPany'nin geliştirme platformuna sızmayı ve VPN yüklendiğinde müşteri sistemlerini enfekte eden özel 'Slowstepper' arka kapısını ('ipanyvpnsetup.exe') yerleştirmeyi başardı.
Tedarik zinciri saldırısını ortaya çıkaran ESET araştırmacılarına göre, saldırıdan etkilenen şirketler arasında bir Güney Koreli yarı iletken firması ve bir yazılım geliştirme şirketi yer alıyor. Ancak, enfekte kurbanların ilk belirtileri Japonya'da Kasım 2023'e kadar uzanıyor.
İPany müşterileri, programın zip yükleyicisini ('ipanyvpnsetup.zip') şirketin web sitesinden indirdikten sonra enfekte olurlar.
Yükleyici yürütüldükten sonra, kayıt defterine kalıcılık için bir çalışma anahtarının eklendiği meşru VPN ürününü ve kötü amaçlı dosyaları ('svcghost.exe') yükler.
Slowstepper yükü, bir 'perfwatson.exe' işlemine girilen kötü amaçlı bir DLL ('lregdll.dll') aracılığıyla bir görüntü dosyasından ('winlogin.gif') yüklenir. SVCGHOST yürütülebilir, her zaman çalıştığından emin olmak için işlemi izler.
ESET, bu saldırılarda kullanılan Slowstepper'ın belirli versiyonunun 0.2.10 Lite olduğunu, bu da standart sürüm kadar tam özellikli olmayan, ancak daha küçük ayak izi nedeniyle daha gizli olabileceğini ve hala güçlü bir araç olduğunu söylüyor.
ESET, "Hem tam hem de lite sürümleri, kapsamlı veri koleksiyonu ve ses ve videoların kaydedilmesi yoluyla casusluk içeren Python ve Go'da programlanan bir dizi araç kullanıyor."
Slowstepper tarafından desteklenen en önemli komutlar:
Araştırmacılar, uzlaşmayı bilgilendirmek için VPN satıcısıyla temasa geçti ve kötü amaçlı yükleyici web sitesinden kaldırıldı. Ancak, zaten enfekte olanların sistemlerini temizlemek için harekete geçmeleri gerekir.
ESET, indirme sayfasının belirli hedeflemeyi belirtmek için geo-fencing mekanizmaları veya başka bir araç içermediğinin altını çizmektedir, bu nedenle Kasım 2023'ten (ve muhtemelen daha erken) Mayıs 2024'e kadar iPanyVPN'yi indiren herkes Slowstepper tarafından enfekte olmuştur.
Bu kampanyayla ilişkili uzlaşma göstergelerinin (IOC'ler) tam listesi burada bulunabilir.
Kötü niyetli Rspack, çalıntı NPM jetonları kullanılarak yayınlanan vant paketleri
Ultralitik AI Modeli, Binlerce'yi Cryptominer ile enfekte etmek için kaçırıldı
Trump son teslim tarihini uzatacağını söyledikten sonra Tiktok ABD'de geri döndü
Trump şirkete bir yaşam çizgisi atarken Tiktok ABD'de kapanıyor
ABD Yaptırımları Çin firması, telekom ve Hazine Hacks'in arkasında hacker
Kaynak: Bleeping Computer