„PlushDaemon APT Group“: pasinerkite į slaptą kibernetinę operaciją
Table of Contents
Sudėtingos kibernetinės grėsmės atskleidimas
„PlushDaemon“, pažangi nuolatinės grėsmės (APT) grupė, turinti sąsajų su Kinija, atstovauja sudėtingam kibernetinio šnipinėjimo žaidėjui. Ši grupė atkreipė dėmesį dėl savo tikslinės atakos prieš Pietų Korėjos virtualaus privataus tinklo (VPN) tiekėją, o tai pažymėjo esminį momentą jos veikloje. Ataka išnaudojo vartotojų pasitikėjimą programinės įrangos naujinimais, įterpdami kenkėjišką kodą į teisėtus diegimo failus.
Grupė veikia mažiausiai nuo 2019 m., sutelkdama pastangas į platų tikslų spektrą, įskaitant subjektus Kinijoje, Taivane, Honkonge, Pietų Korėjoje, JAV ir Naujojoje Zelandijoje. „PlushDaemon“ naudoja kruopščiai suprojektuotas galines duris „SlowStepper“, kurios yra jos veiklos kertinis akmuo. Šis pagal užsakymą sukurtas įrankių rinkinys, kuriame yra daugiau nei 30 komponentų, pabrėžia grupės techninį meistriškumą ir ilgalaikį strateginį planavimą.
„PlushDaemon“ operacijų tikslai
Iš esmės „PlushDaemon“ veikla siekia rinkti neskelbtiną informaciją ir išlaikyti ilgalaikę prieigą prie pažeistų tinklų. „SlowStepper“ užpakalinės durys yra pagrindinės jų operacijos, skirtos duomenims išfiltruoti, veiklai stebėti ir įvairioms komandoms vykdyti tikslinėse sistemose. Naudodama SlowStepper, PlushDaemon siekia įsiskverbti į didelės vertės tinklus, ypač susijusius su tokiomis pramonės šakomis kaip technologijos, gamyba ir programinės įrangos kūrimas.
Grupė naudoja įvairius metodus, kad pasiektų savo tikslus, įskaitant teisėtų programinės įrangos naujinimo kanalų užgrobimą ir žiniatinklio serverių pažeidžiamumų išnaudojimą. Įterpdami savo kodą į patikimus programinės įrangos diegimo įrenginius, pvz., pažeisto VPN teikėjo sąrankos failą, jie padidina galimybes išvengti aptikimo ir pasiekti nieko neįtariančius vartotojus.
„PlushDaemon“ veiklos pasekmės
„PlushDaemon“ veiklos pasekmės neapsiriboja individualiais vartotojais. Grupės gebėjimas įsiskverbti į tiekimo grandines, pažeidžiant patikimą programinę įrangą jos šaltinyje, sukuria bangavimo efektą, dėl kurio gali kilti rizika visai susietų organizacijų ekosistemai. Nukreipdama į pramonės šakas, kurios yra svarbios pasaulinei infrastruktūrai, „PlushDaemon“ demonstruoja potencialą sutrikdyti veiklą ir dideliu mastu pavogti intelektinę nuosavybę.
Telemetrijos duomenys rodo, kad „PlushDaemon“ pažeista diegimo programa buvo naudojama aplinkoje, susietoje su puslaidininkių įmone ir programinės įrangos kūrimo įmone Pietų Korėjoje. Ši išvada išryškina grupės dėmesį strategiškai svarbiems subjektams, kur prieiga prie patentuotų technologijų ar duomenų gali pasiūlyti reikšmingų žvalgybos ar ekonominių pranašumų.
SlowStepper Backdoor viduje
„SlowStepper“ užpakalinės durys liudija „PlushDaemon“ techninį rafinuotumą. Parašytos C++, Python ir Go kalbomis, užpakalinės durys pasižymi moduline architektūra, leidžiančia prisitaikyti prie įvairių veiklos poreikių. Tai apima galimybes rinkti išsamią sistemos informaciją, įrašyti garso ir vaizdo įrašus, rinkti naršyklės duomenis ir išskleisti jautrius failus.
„SlowStepper“ išskiria daugiapakopį komandų ir valdymo komunikacijos metodą. Naudodamas DNS užklausas, jis nuskaito IP adresus, kad užmegztų ryšį su savo serveriais, užtikrinant atsparumą aptikimo ir pašalinimo pastangoms. Be to, „Python“ pagrindu sukurti įrankiai leidžia skrydžio metu vykdyti pasirinktinius modulius, todėl „PlushDaemon“ gali lanksčiai pritaikyti atakas pagal besikeičiančius tikslus.
Žvilgsnis į tiekimo grandinės ataką
„PlushDaemon“ 2023 m. ataka prieš Pietų Korėjos VPN teikėją buvo sudėtingas tiekėjo diegimo paketo kompromisas. Pakeistas diegimo programa ne tik įdiegė teisėtą programinę įrangą, bet ir įdiegė „SlowStepper“ užpakalines duris. Naudotojai, atsisiuntę šį įstrigusį paketą, nesąmoningai paveikė savo sistemas nuo kenkėjiškų veiksmų.
Ši operacija pabrėžia tiekimo grandinės atakų pavojų, kai pasitikėjimas teisėta programine įranga yra ginkluojamas siekiant apeiti tradicines saugumo priemones. Tokios atakos yra ypač klastingos, nes jos išnaudoja įgimtą vartotojų pasitikėjimą gerbiamų pardavėjų ir programinės įrangos tiekėjais.
Ko organizacijos gali pasimokyti iš „PlushDaemon“.
„PlushDaemon“ veikla pabrėžia itin svarbią patikimų saugumo priemonių svarbą per visą programinės įrangos kūrimo gyvavimo ciklą. Organizacijoms labai svarbu stebėti tiekimo grandines, tikrinti programinės įrangos vientisumą ir diegti daugiasluoksnes apsaugos priemones, kad būtų sumažinta rizika, susijusi su pažangiomis grėsmėmis.
Grupės pritaikytų užpakalinių durų naudojimas ir programinės įrangos pažeidžiamumų išnaudojimas taip pat sustiprina visapusės grėsmių žvalgybos ir aktyvaus pažeidžiamumo valdymo poreikį. Organizacijos turi neatsilikti nuo kylančių grėsmių ir užtikrinti, kad jų gynybinės priemonės būtų pritaikytos atremti besikeičiančią taktiką.
Apatinė eilutė
„PlushDaemon“ yra ryškus priminimas apie šiuolaikinių kibernetinių grėsmių sudėtingumą ir atkaklumą. Nors grupės veikla gali neturėti tiesioginio ir matomo poveikio, jos ilgalaikės pasekmės gali būti reikšmingos pramonės šakoms ir subjektams, į kuriuos ji nukreipta.
Suprasdami „PlushDaemon“ taktiką ir įrankius, kibernetinio saugumo specialistai gali geriau pasiruošti panašioms grėsmėms ateityje. Šios grupės veiklos pamokose pabrėžiama budrumo, bendradarbiavimo ir naujovių svarba dedant pastangas apsaugoti svarbiausius skaitmeninius išteklius.
