China Hackers Compromised VPN Service Provider in Supply-Chain Attack

దక్షిణ కొరియా VPN ప్రొవైడర్‌ను లక్ష్యంగా చేసుకున్న అధునాతన సరఫరా-గొలుసు దాడి. ఈ దాడికి మునుపు వెల్లడించని చైనా-అలైన్డ్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ ఆపాదించబడింది, ఇప్పుడు దీనికి PlushDaemon అని పేరు పెట్టారు.

మే 2024లో కనుగొనబడిన ఈ ఆపరేషన్, దక్షిణ కొరియా కంపెనీచే అభివృద్ధి చేయబడిన చట్టబద్ధమైన VPN సాఫ్ట్‌వేర్ అయిన IPany యొక్క రాజీని కలిగి ఉంది.

PlushDaemon అధికారిక ఇన్‌స్టాలర్‌ను హానికరమైన సంస్కరణతో భర్తీ చేసింది, ఇది చట్టబద్ధమైన సాఫ్ట్‌వేర్ మరియు స్లోస్టెప్పర్ అనే కస్టమ్ బ్యాక్‌డోర్ రెండింటినీ అమలు చేసింది.

SlowStepper అనేది 30కి పైగా భాగాలతో కూడిన విస్తృతమైన టూల్‌కిట్‌తో కూడిన ఫీచర్-రిచ్ ఇంప్లాంట్. C++, Python మరియు Goలో ప్రోగ్రామ్ చేయబడిన ఈ బ్యాక్‌డోర్ సమూహం యొక్క అధునాతన సామర్థ్యాలు మరియు వనరులను ప్రదర్శిస్తుంది.

హానికరమైన PlushDaemon ఇన్‌స్టాలర్

చైనా, తైవాన్, హాంకాంగ్, దక్షిణ కొరియా, యునైటెడ్ స్టేట్స్ మరియు న్యూజిలాండ్‌లోని లక్ష్యాలకు వ్యతిరేకంగా గూఢచర్య కార్యకలాపాలను నిర్వహిస్తూ, ప్లష్‌డేమన్ కనీసం 2019 నుండి క్రియాశీలకంగా ఉందని ESET పరిశోధకులు విశ్వసిస్తున్నారు.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

సమూహం యొక్క ప్రాధమిక యాక్సెస్ యొక్క ప్రాథమిక పద్ధతి చైనీస్ అప్లికేషన్‌ల యొక్క చట్టబద్ధమైన అప్‌డేట్‌లను హైజాక్ చేయడం మరియు అటాకర్-నియంత్రిత సర్వర్‌లకు ట్రాఫిక్‌ను దారి మళ్లించడం.

రాజీపడిన VPN ఇన్‌స్టాలర్ IPany యొక్క అధికారిక వెబ్‌సైట్ నుండి జిప్ ఆర్కైవ్‌గా డౌన్‌లోడ్ చేసుకోవడానికి అందుబాటులో ఉంది. ESET లక్ష్య పంపిణీకి ఎటువంటి ఆధారాలు కనుగొనలేదు, ఏదైనా IPany VPN వినియోగదారు సంభావ్య బాధితుడు కావచ్చని సూచిస్తున్నారు.

కనుగొనబడిన తర్వాత, ESET వెంటనే VPN సాఫ్ట్‌వేర్ డెవలపర్‌కు తెలియజేసింది, వారు తమ వెబ్‌సైట్ నుండి హానికరమైన ఇన్‌స్టాలర్‌ను తొలగించారు.

దక్షిణ కొరియాలోని సెమీకండక్టర్ కంపెనీ మరియు గుర్తించబడని సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ సంస్థ నెట్‌వర్క్‌లలో అనేక మంది వినియోగదారులు ట్రోజనైజ్డ్ సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడానికి ప్రయత్నించారని ESET టెలిమెట్రీ వెల్లడించింది.

ESET యొక్క టెలిమెట్రీలో నమోదైన పురాతన కేసులు జపాన్‌లోని ఒక బాధితురాలి కోసం నవంబర్ 2023 మరియు చైనాలో బాధితురాలికి డిసెంబర్ 2023 నాటివి.

ఈ సరఫరా-గొలుసు దాడి PlushDaemon యొక్క వ్యూహాలలో గణనీయమైన పెరుగుదలను సూచిస్తుంది, కేవలం చైనీస్ అప్లికేషన్‌లను మాత్రమే కాకుండా దక్షిణ కొరియా సాఫ్ట్‌వేర్ ప్రొవైడర్లను కూడా రాజీ చేసే వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.

PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

ఈ సాధనాలు తరచుగా సున్నితమైన కమ్యూనికేషన్‌లు మరియు డేటా బదిలీలను సురక్షితంగా ఉంచడానికి ఉపయోగించబడుతున్నందున, VPN సేవలపై సమూహం యొక్క దృష్టి ప్రత్యేకించి సంబంధించినది.

PlushDaemon యొక్క ఆవిష్కరణ మరియు దాని కార్యకలాపాలు రాష్ట్ర-ప్రాయోజిత సైబర్ గూఢచర్య ప్రచారాల ద్వారా కొనసాగుతున్న ముప్పును హైలైట్ చేస్తుంది. ఇది సాఫ్ట్‌వేర్ సరఫరా గొలుసు అంతటా పటిష్టమైన భద్రతా చర్యల యొక్క ప్రాముఖ్యతను, అలాగే అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపులకు వ్యతిరేకంగా నిరంతరం అప్రమత్తంగా ఉండవలసిన అవసరాన్ని నొక్కి చెబుతుంది.

సైబర్‌ సెక్యూరిటీ ల్యాండ్‌స్కేప్‌లో ఉద్రిక్తతలు పెరుగుతూనే ఉన్నందున, ఈ సంఘటన దేశ-రాష్ట్ర నటులు ఉపయోగించే అధునాతన వ్యూహాలను పూర్తిగా గుర్తు చేస్తుంది. సంస్థలు మరియు వ్యక్తులు ఒకే విధంగా నమ్మదగిన సాఫ్ట్‌వేర్ మూలాలతో సంబంధం ఉన్న సంభావ్య ప్రమాదాల పట్ల అప్రమత్తంగా ఉండాలి.

PlushDaemon మరియు SlowStepper బ్యాక్‌డోర్‌పై ESET పరిశోధన సైబర్‌ సెక్యూరిటీ కమ్యూనిటీకి విలువైన అంతర్దృష్టులను అందిస్తుంది.

ఇది భవిష్యత్తులో ఇలాంటి దాడులకు వ్యతిరేకంగా మెరుగైన గుర్తింపు మరియు నివారణ వ్యూహాలను అనుమతిస్తుంది, అదే సమయంలో చైనా-అలైన్డ్ APT సమూహాల అభివృద్ధి చెందుతున్న వ్యూహాలపై కూడా వెలుగునిస్తుంది.

పరిశోధనలు కొనసాగుతున్నందున, సైబర్‌ సెక్యూరిటీ నిపుణులు IPany VPN మరియు సారూప్య సేవల వినియోగదారులను వారి సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్‌ల సమగ్రతను ధృవీకరించాలని మరియు రాజీ సంకేతాల కోసం అప్రమత్తంగా ఉండాలని కోరారు.

Nnice Ransomware Attacks Windows Systems Using Advanced Encryption Techniques

PlushDaemon సరఫరా-గొలుసు దాడి కోసం రాజీ సూచికల (IoCలు) సంగ్రహించే పట్టిక ఇక్కడ ఉంది:

PlushDaemon ముప్పును గుర్తించడం మరియు తగ్గించడం కోసం ఈ IoCలు కీలకమైన సమాచారాన్ని అందిస్తాయి. భద్రతా బృందాలు సంభావ్య రాజీల కోసం వారి సిస్టమ్‌లు మరియు నెట్‌వర్క్‌లను స్కాన్ చేయడానికి ఈ ఫైల్ హ్యాష్‌లు మరియు పేర్లను ఉపయోగించాలి.