Корейский VPN-провайдер IPany пострадал от атаки на цепочку поставок и распространял малварь - «Новости» » Интернет технологии
sitename
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Корейский VPN-провайдер IPany пострадал от атаки на цепочку поставок и распространял малварь - «Новости»

✔Корейский VPN-провайдер IPany пострадал от атаки на цепочку поставок и распространял малварь - «Новости»

24 января 2025 375 Новости / Изображения / Отступы и поля / Заработок / Преимущества стилей / Вёрстка / Сайтостроение / Списки / Линии и рамки 0

Южнокорейский VPN-провайдер IPany подвергся атаке китайской хак-группы PlushDaemon. Злоумышленники скомпрометировали установщик VPN компании (IPanyVPNsetup.exe), внедрив в него бэкдор SlowStepper.


По данным исследователей из компании ESET, обнаруживших эту атаку, в число пострадавших входят неназванная полупроводниковая фирма из Южной Кореи, а также компания, занимающаяся разработкой ПО. В целом первые признаки заражений были обнаружены  еще в ноябре и декабре 2023 года, и исходили из Японии и Китая.


«Злоумышленники подменили легитимный установщик на собственный, который развертывал фирменный имплант группы — SlowStepper. Это многофункциональный бэкдор с тулкитом, насчитывающим более 30 компонентов», — пишут исследователи.



Установщик на этой странице был заменен на вредоносную версию с бэкдором

Клиенты IPany заражались SlowStepper после загрузки ZIP-инсталлятора (IPanyVPNsetup.zip) с сайта компании. После запуска установщик загружал как настоящий VPN-продукт IPany, так и вредоносные файлы (включая svcghost.exe), которые помогали малвари закрепиться в системе.





SlowStepper подгружался из файла-изображения (winlogin.gif) через вредоносную DLL (lregdll.dll), которая внедрялась в процесс PerfWatson.exe через sideloding. Упомянутый выше исполняемый файл svcghost следил за тем, чтобы процесс всегда оставался активным.


По словам исследователей, в этих атаках использовался SlowStepper версии 0.2.10 Lite, которая отличается от стандартной версии менее широкими функциональными возможностями, но может оставаться более скрытной за счет меньшего размера.


«Полноценная и Lite-версия используют набор инструментов, написанных на Python и Go, которые позволяют осуществлять обширный сбор данных и шпионаж с помощью записи аудио и видео», — объясняют в ESET.





Так, SlowStepper, способен:



  • собирать различные системные данные, включая марку процессора, серийные номера жестких дисков, имя компьютера и хоста, публичный IP-адрес, список запущенных процессов и установленных приложений, данные сетевых интерфейсов, системной памяти, информацию о состоянии веб-камеры и микрофона, а также информацию о том, работает ли ОС на виртуальной машине;

  • получать и запускать файлы с управляющего сервера, устанавливая дополнительные полезные нагрузки;

  • составлять списки файлов и каталогов взломанной системы;

  • запускать шпионские инструменты на базе Python, предназначенные для выполнения различных функций, например, кражи данных из браузера, кейлоггинга и сбора учетных данных;

  • активировать шелл-режим, что позволяло злоумышленникам напрямую выполнять команды, создавая интерактивную среду для управления взломанной машиной;

  • удалять определенные файлы или каталоги, что могло использоваться для удаления следов малвари или нарушения функциональности системы;

  • загружать и запускать конкретные шпионские Python-модули (такие как Browser для кражи данных браузера, WeChat, Telegram и DingTalk для извлечения логов чата, ScreenRecord для захвата активности экрана, Camera для съемки с помощью веб-камеры и CollectInfo для сканирования диска в поисках конфиденциальных документов).


Исследователи уведомили представителей IPany об атаке на цепочку поставок, после чего вредоносный установщик был удален с сайта компании.


В ESET подчеркивают, что все пользовали, загружавшие IPanyVPN с ноября 2023 года (а возможно, и раньше) по май 2024 года, могут быть заражены SlowStepper. Теперь потенциальным пострадавшим рекомендуется принять срочные меры по очистке своих систем от малвари.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Южнокорейский VPN-провайдер IPany подвергся атаке китайской хак-группы PlushDaemon. Злоумышленники скомпрометировали установщик VPN компании (IPanyVPNsetup.exe), внедрив в него бэкдор SlowStepper. По данным исследователей из компании ESET, обнаруживших эту атаку, в число пострадавших входят неназванная полупроводниковая фирма из Южной Кореи, а также компания, занимающаяся разработкой ПО. В целом первые признаки заражений были обнаружены еще в ноябре и декабре 2023 года, и исходили из Японии и Китая. «Злоумышленники подменили легитимный установщик на собственный, который развертывал фирменный имплант группы — SlowStepper. Это многофункциональный бэкдор с тулкитом, насчитывающим более 30 компонентов», — пишут исследователи. Установщик на этой странице был заменен на вредоносную версию с бэкдором Клиенты IPany заражались SlowStepper после загрузки ZIP-инсталлятора (IPanyVPNsetup.zip) с сайта компании. После запуска установщик загружал как настоящий VPN-продукт IPany, так и вредоносные файлы (включая svcghost.exe), которые помогали малвари закрепиться в системе. SlowStepper подгружался из файла-изображения (winlogin.gif) через вредоносную DLL (lregdll.dll), которая внедрялась в процесс PerfWatson.exe через sideloding. Упомянутый выше исполняемый файл svcghost следил за тем, чтобы процесс всегда оставался активным. По словам исследователей, в этих атаках использовался SlowStepper версии 0.2.10 Lite, которая отличается от стандартной версии менее широкими функциональными возможностями, но может оставаться более скрытной за счет меньшего размера. «Полноценная и Lite-версия используют набор инструментов, написанных на Python и Go, которые позволяют осуществлять обширный сбор данных и шпионаж с помощью записи аудио и видео», — объясняют в ESET. Так, SlowStepper, способен: собирать различные системные данные, включая марку процессора, серийные номера жестких дисков, имя компьютера и хоста, публичный IP-адрес, список запущенных процессов и установленных приложений, данные сетевых интерфейсов, системной памяти, информацию о состоянии веб-камеры и микрофона, а также информацию о том, работает ли ОС на виртуальной машине; получать и запускать файлы с управляющего сервера, устанавливая дополнительные полезные нагрузки; составлять списки файлов и каталогов взломанной системы; запускать шпионские инструменты на базе Python, предназначенные для выполнения различных функций, например, кражи данных из браузера, кейлоггинга и сбора учетных данных; активировать шелл-режим, что позволяло злоумышленникам напрямую выполнять команды, создавая интерактивную среду для управления взломанной машиной; удалять определенные файлы или каталоги, что могло использоваться для удаления следов малвари или нарушения функциональности системы; загружать и запускать конкретные шпионские Python-модули (такие как Browser для кражи данных браузера, WeChat, Telegram и DingTalk для извлечения логов чата, ScreenRecord для захвата активности экрана, Camera для съемки с помощью веб-камеры и CollectInfo для сканирования диска в поисках конфиденциальных документов). Исследователи уведомили представителей IPany об атаке на цепочку поставок, после чего вредоносный установщик был удален с сайта компании. В ESET подчеркивают, что все пользовали, загружавшие IPanyVPN с ноября 2023 года (а возможно, и раньше) по май 2024 года, могут быть заражены SlowStepper. Теперь потенциальным пострадавшим рекомендуется принять срочные меры по очистке своих систем от малвари.
CSS
запостил(а)
Roger
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: