China Hackers Compromised VPN Service Provider in Supply-Chain Attack

దక్షిణ కొరియా VPN ప్రొవైడర్‌ను లక్ష్యంగా చేసుకున్న అధునాతన సరఫరా-గొలుసు దాడి. ఈ దాడికి మునుపు వెల్లడించని చైనా-అలైన్డ్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ ఆపాదించబడింది, ఇప్పుడు దీనికి PlushDaemon అని పేరు పెట్టారు.

మే 2024లో కనుగొనబడిన ఈ ఆపరేషన్, దక్షిణ కొరియా కంపెనీచే అభివృద్ధి చేయబడిన చట్టబద్ధమైన VPN సాఫ్ట్‌వేర్ అయిన IPany యొక్క రాజీని కలిగి ఉంది.

PlushDaemon అధికారిక ఇన్‌స్టాలర్‌ను హానికరమైన సంస్కరణతో భర్తీ చేసింది, ఇది చట్టబద్ధమైన సాఫ్ట్‌వేర్ మరియు స్లోస్టెప్పర్ అనే కస్టమ్ బ్యాక్‌డోర్ రెండింటినీ అమలు చేసింది.

SlowStepper అనేది 30కి పైగా భాగాలతో కూడిన విస్తృతమైన టూల్‌కిట్‌తో కూడిన ఫీచర్-రిచ్ ఇంప్లాంట్. C++, Python మరియు Goలో ప్రోగ్రామ్ చేయబడిన ఈ బ్యాక్‌డోర్ సమూహం యొక్క అధునాతన సామర్థ్యాలు మరియు వనరులను ప్రదర్శిస్తుంది.

హానికరమైన PlushDaemon ఇన్‌స్టాలర్

చైనా, తైవాన్, హాంకాంగ్, దక్షిణ కొరియా, యునైటెడ్ స్టేట్స్ మరియు న్యూజిలాండ్‌లోని లక్ష్యాలకు వ్యతిరేకంగా గూఢచర్య కార్యకలాపాలను నిర్వహిస్తూ, ప్లష్‌డేమన్ కనీసం 2019 నుండి క్రియాశీలకంగా ఉందని ESET పరిశోధకులు విశ్వసిస్తున్నారు.

సమూహం యొక్క ప్రాధమిక యాక్సెస్ యొక్క ప్రాథమిక పద్ధతి చైనీస్ అప్లికేషన్‌ల యొక్క చట్టబద్ధమైన అప్‌డేట్‌లను హైజాక్ చేయడం మరియు అటాకర్-నియంత్రిత సర్వర్‌లకు ట్రాఫిక్‌ను దారి మళ్లించడం.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

రాజీపడిన VPN ఇన్‌స్టాలర్ IPany యొక్క అధికారిక వెబ్‌సైట్ నుండి జిప్ ఆర్కైవ్‌గా డౌన్‌లోడ్ చేసుకోవడానికి అందుబాటులో ఉంది. ESET లక్ష్య పంపిణీకి ఎటువంటి ఆధారాలు కనుగొనలేదు, ఏదైనా IPany VPN వినియోగదారు సంభావ్య బాధితుడు కావచ్చని సూచిస్తున్నారు.

కనుగొనబడిన తర్వాత, ESET వెంటనే VPN సాఫ్ట్‌వేర్ డెవలపర్‌కు తెలియజేసింది, వారు తమ వెబ్‌సైట్ నుండి హానికరమైన ఇన్‌స్టాలర్‌ను తొలగించారు.

దక్షిణ కొరియాలోని సెమీకండక్టర్ కంపెనీ మరియు గుర్తించబడని సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ సంస్థ నెట్‌వర్క్‌లలో అనేక మంది వినియోగదారులు ట్రోజనైజ్డ్ సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడానికి ప్రయత్నించారని ESET టెలిమెట్రీ వెల్లడించింది.

ESET యొక్క టెలిమెట్రీలో నమోదైన పురాతన కేసులు జపాన్‌లోని ఒక బాధితురాలి కోసం నవంబర్ 2023 మరియు చైనాలో బాధితురాలికి డిసెంబర్ 2023 నాటివి.

ఈ సరఫరా-గొలుసు దాడి PlushDaemon యొక్క వ్యూహాలలో గణనీయమైన పెరుగుదలను సూచిస్తుంది, కేవలం చైనీస్ అప్లికేషన్‌లను మాత్రమే కాకుండా దక్షిణ కొరియా సాఫ్ట్‌వేర్ ప్రొవైడర్లను కూడా రాజీ చేసే వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.

ఈ సాధనాలు తరచుగా సున్నితమైన కమ్యూనికేషన్‌లు మరియు డేటా బదిలీలను సురక్షితంగా ఉంచడానికి ఉపయోగించబడుతున్నందున, VPN సేవలపై సమూహం యొక్క దృష్టి ప్రత్యేకించి సంబంధించినది.

PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

PlushDaemon యొక్క ఆవిష్కరణ మరియు దాని కార్యకలాపాలు రాష్ట్ర-ప్రాయోజిత సైబర్ గూఢచర్య ప్రచారాల ద్వారా కొనసాగుతున్న ముప్పును హైలైట్ చేస్తుంది. ఇది సాఫ్ట్‌వేర్ సరఫరా గొలుసు అంతటా పటిష్టమైన భద్రతా చర్యల యొక్క ప్రాముఖ్యతను, అలాగే అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపులకు వ్యతిరేకంగా నిరంతరం అప్రమత్తంగా ఉండవలసిన అవసరాన్ని నొక్కి చెబుతుంది.

సైబర్‌ సెక్యూరిటీ ల్యాండ్‌స్కేప్‌లో ఉద్రిక్తతలు పెరుగుతూనే ఉన్నందున, ఈ సంఘటన దేశ-రాష్ట్ర నటులు ఉపయోగించే అధునాతన వ్యూహాలను పూర్తిగా గుర్తు చేస్తుంది. సంస్థలు మరియు వ్యక్తులు ఒకే విధంగా నమ్మదగిన సాఫ్ట్‌వేర్ మూలాలతో సంబంధం ఉన్న సంభావ్య ప్రమాదాల పట్ల అప్రమత్తంగా ఉండాలి.

PlushDaemon మరియు SlowStepper బ్యాక్‌డోర్‌పై ESET పరిశోధన సైబర్‌ సెక్యూరిటీ కమ్యూనిటీకి విలువైన అంతర్దృష్టులను అందిస్తుంది.

ఇది భవిష్యత్తులో ఇలాంటి దాడులకు వ్యతిరేకంగా మెరుగైన గుర్తింపు మరియు నివారణ వ్యూహాలను అనుమతిస్తుంది, అదే సమయంలో చైనా-అలైన్డ్ APT సమూహాల అభివృద్ధి చెందుతున్న వ్యూహాలపై కూడా వెలుగునిస్తుంది.

పరిశోధనలు కొనసాగుతున్నందున, సైబర్‌ సెక్యూరిటీ నిపుణులు IPany VPN మరియు సారూప్య సేవల వినియోగదారులను వారి సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్‌ల సమగ్రతను ధృవీకరించాలని మరియు రాజీ సంకేతాల కోసం అప్రమత్తంగా ఉండాలని కోరారు.

PlushDaemon సరఫరా-గొలుసు దాడి కోసం రాజీ సూచికల (IoCలు) సంగ్రహించే పట్టిక ఇక్కడ ఉంది:

Nnice Ransomware Attacks Windows Systems Using Advanced Encryption Techniques

PlushDaemon ముప్పును గుర్తించడం మరియు తగ్గించడం కోసం ఈ IoCలు కీలకమైన సమాచారాన్ని అందిస్తాయి. భద్రతా బృందాలు సంభావ్య రాజీల కోసం వారి సిస్టమ్‌లు మరియు నెట్‌వర్క్‌లను స్కాన్ చేయడానికి ఈ ఫైల్ హ్యాష్‌లు మరియు పేర్లను ఉపయోగించాలి.