چینی PlushDaemon APT S. IPany VPN کره ای را با درب پشتی هدف قرار می دهد

Published by ariokaveh on

شرکت امنیت سایبری ESET، PlushDaemon، یک گروه APT ناشناخته را که کره جنوبی را هدف قرار می دهد، کشف می کند و یک درپشتی SlowStepper را مستقر می کند. این مقاله تکنیک‌های حمله، قابلیت‌های بدافزار SlowStepper و تهدید رو به رشد ناشی از این گروه پیشرفته APT را تحلیل می‌کند.

شرکت امنیت سایبری ESET یک گروه تهدید دائمی پیشرفته (APT) همسو با چین را شناسایی کرده است که “PlushDaemon” نام دارد و در پشت عملیات جاسوسی سایبری که کره جنوبی را هدف قرار داده است.

کمپین حمله شامل سازش زنجیره تامین بود ، جایی که مهاجمان به کانال های به روز رسانی قانونی IPany، یک نرم افزار محبوب VPN کره جنوبی نفوذ کردند. سپس PlushDaemon نصب‌کننده‌های اصلی را با نسخه‌های تروجانی جایگزین کرد، که پس از دانلود و اجرا، هم نرم‌افزار قانونی IPany VPN و هم یک درب پشتی سفارشی به نام SlowStepper را مستقر می‌کردند.

این بدان معناست که با جایگزینی نصب کننده اصلی با نسخه تروجانیزه شده، PlushDaemon با موفقیت یک درب پشتی مخرب را در نرم افزار جاسازی کرد. طبق تحقیقات ESET ، SlowStepper یک درب پشتی با ویژگی های غنی است که دارای بیش از 30 ماژول است. این برای نظارت گسترده و جمع آوری داده ها طراحی شده است.

این بدافزار که به زبان‌های C++، Python و Go نوشته شده است، دارای طیف گسترده‌ای از قابلیت‌ها، از جمله سرقت داده‌های حساس مانند اطلاعات سیستم، اعتبار کاربر، و پیکربندی‌های شبکه، ضبط صدا و تصویر، امکان نظارت بر فعالیت‌های هدف‌ها و جمع‌آوری مهاجمان است. اطلاعات دقیق در مورد محیط شبکه قربانی علاوه بر این، درب پشتی دارای مکانیزم‌های پایداری پیشرفته است، مانند استقرار فایل‌هایی که حضور مداوم SlowStepper در سیستم‌های آلوده را تضمین می‌کند و از ابزارهای قانونی برای بارگذاری کدهای مخرب جانبی استفاده می‌کند. نصب کننده تروجانیزه از روش های ارتباطی پیشرفته برای اتصال با سرورهای فرمان و کنترل (C&C) استفاده می کند.

SlowStepper به جای جاسازی آدرس‌های IP مستقیماً در بدافزار، درخواست‌های DNS را برای بازیابی سوابق TXT حاوی آدرس‌های سرور C&C رمزگذاری‌شده با پایه 64 و AES ایجاد می‌کند. این رویکرد چند لایه تشخیص را چالش برانگیزتر می کند.

در حالی که تله متری ESET بارگیری دستی نرم‌افزار آسیب‌دیده را نشان می‌دهد، که یک استراتژی هدف‌گیری گسترده را پیشنهاد می‌کند، این حمله به طور خاص بر روی نهادهایی در صنایع نیمه‌رسانا و نرم‌افزار حیاتی کره جنوبی متمرکز بود. مداخله به موقع ESET، که IPany را به نصب کننده آسیب دیده هشدار داد، از شیوع بیشتر عفونت جلوگیری کرد.

منبع :

https://hackread.com/chinese-plushdaemon-apt-south-korean-vpn-backdoor/
Categories: دسته‌بندی نشده

0 Comments

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Related Posts

دسته‌بندی نشده

DeepSeek با حمله سایبری در مقیاس بزرگ روبرو می شود، ثبت نام کاربران جدید را متوقف می کند

DeepSeek، یک پلتفرم جدید هوش مصنوعی با پشتیبانی چین، با یک حمله سایبری روبرو می شود که ثبت نام کاربران جدید را مختل می کند. با رشد سریع، چالش ها و اهمیت امنیت سایبری آشنا Read more…

دسته‌بندی نشده

هکرها از XWorm RAT برای بهره برداری از اسکریپت Kiddies، Pwning 18000 دستگاه استفاده می کنند.

کلاهبرداران کلاهبرداران – هکرها با استفاده از XWorm RAT از بچه های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از Read more…

دسته‌بندی نشده

ثبت زیر دامنه Zendesk در معرض کلاهبرداری های فیشینگ و قصاب خوک ها قرار گرفت

CloudSEK یک آسیب‌پذیری Zendesk را کشف می‌کند که به مجرمان سایبری اجازه می‌دهد از زیر دامنه‌ها برای کلاهبرداری‌های فیشینگ و سرمایه‌گذاری سوء استفاده کنند. در مورد خطرات و اصلاحات مورد نیاز بیاموزید. محققان امنیت سایبری Read more…