China Hackers Compromised VPN Service Provider in Supply-Chain Attack

దక్షిణ కొరియా VPN ప్రొవైడర్‌ను లక్ష్యంగా చేసుకున్న అధునాతన సరఫరా-గొలుసు దాడి. ఈ దాడికి మునుపు వెల్లడించని చైనా-అలైన్డ్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ ఆపాదించబడింది, ఇప్పుడు దీనికి PlushDaemon అని పేరు పెట్టారు.

మే 2024లో కనుగొనబడిన ఈ ఆపరేషన్, దక్షిణ కొరియా కంపెనీచే అభివృద్ధి చేయబడిన చట్టబద్ధమైన VPN సాఫ్ట్‌వేర్ అయిన IPany యొక్క రాజీని కలిగి ఉంది.

PlushDaemon అధికారిక ఇన్‌స్టాలర్‌ను హానికరమైన సంస్కరణతో భర్తీ చేసింది, ఇది చట్టబద్ధమైన సాఫ్ట్‌వేర్ మరియు స్లోస్టెప్పర్ అనే కస్టమ్ బ్యాక్‌డోర్ రెండింటినీ అమలు చేసింది.

SlowStepper అనేది 30కి పైగా భాగాలతో కూడిన విస్తృతమైన టూల్‌కిట్‌తో కూడిన ఫీచర్-రిచ్ ఇంప్లాంట్. C++, Python మరియు Goలో ప్రోగ్రామ్ చేయబడిన ఈ బ్యాక్‌డోర్ సమూహం యొక్క అధునాతన సామర్థ్యాలు మరియు వనరులను ప్రదర్శిస్తుంది.

హానికరమైన PlushDaemon ఇన్‌స్టాలర్

చైనా, తైవాన్, హాంకాంగ్, దక్షిణ కొరియా, యునైటెడ్ స్టేట్స్ మరియు న్యూజిలాండ్‌లోని లక్ష్యాలకు వ్యతిరేకంగా గూఢచర్య కార్యకలాపాలను నిర్వహిస్తూ, ప్లష్‌డేమన్ కనీసం 2019 నుండి క్రియాశీలకంగా ఉందని ESET పరిశోధకులు విశ్వసిస్తున్నారు.

Cyber Tips: Online Safety, Digital Privacy & Security Guides | GenXPrime

సమూహం యొక్క ప్రాధమిక యాక్సెస్ యొక్క ప్రాథమిక పద్ధతి చైనీస్ అప్లికేషన్‌ల యొక్క చట్టబద్ధమైన అప్‌డేట్‌లను హైజాక్ చేయడం మరియు అటాకర్-నియంత్రిత సర్వర్‌లకు ట్రాఫిక్‌ను దారి మళ్లించడం.

రాజీపడిన VPN ఇన్‌స్టాలర్ IPany యొక్క అధికారిక వెబ్‌సైట్ నుండి జిప్ ఆర్కైవ్‌గా డౌన్‌లోడ్ చేసుకోవడానికి అందుబాటులో ఉంది. ESET లక్ష్య పంపిణీకి ఎటువంటి ఆధారాలు కనుగొనలేదు, ఏదైనా IPany VPN వినియోగదారు సంభావ్య బాధితుడు కావచ్చని సూచిస్తున్నారు.

కనుగొనబడిన తర్వాత, ESET వెంటనే VPN సాఫ్ట్‌వేర్ డెవలపర్‌కు తెలియజేసింది, వారు తమ వెబ్‌సైట్ నుండి హానికరమైన ఇన్‌స్టాలర్‌ను తొలగించారు.

దక్షిణ కొరియాలోని సెమీకండక్టర్ కంపెనీ మరియు గుర్తించబడని సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ సంస్థ నెట్‌వర్క్‌లలో అనేక మంది వినియోగదారులు ట్రోజనైజ్డ్ సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడానికి ప్రయత్నించారని ESET టెలిమెట్రీ వెల్లడించింది.

ESET యొక్క టెలిమెట్రీలో నమోదైన పురాతన కేసులు జపాన్‌లోని ఒక బాధితురాలి కోసం నవంబర్ 2023 మరియు చైనాలో బాధితురాలికి డిసెంబర్ 2023 నాటివి.

ఈ సరఫరా-గొలుసు దాడి PlushDaemon యొక్క వ్యూహాలలో గణనీయమైన పెరుగుదలను సూచిస్తుంది, కేవలం చైనీస్ అప్లికేషన్‌లను మాత్రమే కాకుండా దక్షిణ కొరియా సాఫ్ట్‌వేర్ ప్రొవైడర్లను కూడా రాజీ చేసే వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

ఈ సాధనాలు తరచుగా సున్నితమైన కమ్యూనికేషన్‌లు మరియు డేటా బదిలీలను సురక్షితంగా ఉంచడానికి ఉపయోగించబడుతున్నందున, VPN సేవలపై సమూహం యొక్క దృష్టి ప్రత్యేకించి సంబంధించినది.

PlushDaemon యొక్క ఆవిష్కరణ మరియు దాని కార్యకలాపాలు రాష్ట్ర-ప్రాయోజిత సైబర్ గూఢచర్య ప్రచారాల ద్వారా కొనసాగుతున్న ముప్పును హైలైట్ చేస్తుంది. ఇది సాఫ్ట్‌వేర్ సరఫరా గొలుసు అంతటా పటిష్టమైన భద్రతా చర్యల యొక్క ప్రాముఖ్యతను, అలాగే అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపులకు వ్యతిరేకంగా నిరంతరం అప్రమత్తంగా ఉండవలసిన అవసరాన్ని నొక్కి చెబుతుంది.

సైబర్‌ సెక్యూరిటీ ల్యాండ్‌స్కేప్‌లో ఉద్రిక్తతలు పెరుగుతూనే ఉన్నందున, ఈ సంఘటన దేశ-రాష్ట్ర నటులు ఉపయోగించే అధునాతన వ్యూహాలను పూర్తిగా గుర్తు చేస్తుంది. సంస్థలు మరియు వ్యక్తులు ఒకే విధంగా నమ్మదగిన సాఫ్ట్‌వేర్ మూలాలతో సంబంధం ఉన్న సంభావ్య ప్రమాదాల పట్ల అప్రమత్తంగా ఉండాలి.

PlushDaemon మరియు SlowStepper బ్యాక్‌డోర్‌పై ESET పరిశోధన సైబర్‌ సెక్యూరిటీ కమ్యూనిటీకి విలువైన అంతర్దృష్టులను అందిస్తుంది.

ఇది భవిష్యత్తులో ఇలాంటి దాడులకు వ్యతిరేకంగా మెరుగైన గుర్తింపు మరియు నివారణ వ్యూహాలను అనుమతిస్తుంది, అదే సమయంలో చైనా-అలైన్డ్ APT సమూహాల అభివృద్ధి చెందుతున్న వ్యూహాలపై కూడా వెలుగునిస్తుంది.

పరిశోధనలు కొనసాగుతున్నందున, సైబర్‌ సెక్యూరిటీ నిపుణులు IPany VPN మరియు సారూప్య సేవల వినియోగదారులను వారి సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్‌ల సమగ్రతను ధృవీకరించాలని మరియు రాజీ సంకేతాల కోసం అప్రమత్తంగా ఉండాలని కోరారు.

PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

PlushDaemon సరఫరా-గొలుసు దాడి కోసం రాజీ సూచికల (IoCలు) సంగ్రహించే పట్టిక ఇక్కడ ఉంది:

PlushDaemon ముప్పును గుర్తించడం మరియు తగ్గించడం కోసం ఈ IoCలు కీలకమైన సమాచారాన్ని అందిస్తాయి. భద్రతా బృందాలు సంభావ్య రాజీల కోసం వారి సిస్టమ్‌లు మరియు నెట్‌వర్క్‌లను స్కాన్ చేయడానికి ఈ ఫైల్ హ్యాష్‌లు మరియు పేర్లను ఉపయోగించాలి.