PlushDaemon APT 組織:潛入秘密網路行動
Table of Contents
揭示複雜的網路威脅
PlushDaemon 是一個與中國有聯繫的高級持續威脅 (APT) 組織,是網路間諜活動中的老手。該組織因其對韓國虛擬私人網路(VPN)提供者的針對性攻擊而引起關注,標誌著其行動的關鍵時刻。該攻擊利用了用戶對軟體更新的信任,將惡意程式碼嵌入到合法的安裝檔案中。
該組織至少自 2019 年以來一直活躍,重點關注廣泛的目標,包括中國、台灣、香港、韓國、美國和紐西蘭的實體。 PlushDaemon 利用精心設計的後門 SlowStepper,作為其操作的基石。這款客製化工具包包含 30 多個組件,凸顯了該集團的技術實力和長期策略規劃。
PlushDaemon 營運背後的目標
PlushDaemon 活動的核心目標是收集敏感資訊並保持對受感染網路的長期存取。 SlowStepper 後門是其操作的核心,旨在竊取資料、監控活動並在目標系統上執行一系列命令。 PlushDaemon 試圖透過 SlowStepper 滲透高價值網絡,特別是那些與技術、製造和軟體開發等產業相關的網路。
該組織採用多種技術來實現其目標,包括劫持合法軟體更新通道和利用網路伺服器中的漏洞。透過將程式碼嵌入受信任的軟體安裝程式(例如受感染的 VPN 提供者的安裝檔案),他們可以增加逃避偵測的機會,同時接觸到毫無戒心的用戶。
PlushDaemon 活動的影響
PlushDaemon 操作的影響遠遠超出了個人使用者的範圍。該組織滲透供應鏈的能力(從源頭破壞可信任軟體)會產生連鎖反應,可能使互聯組織的整個生態系統面臨風險。透過瞄準對全球基礎設施至關重要的產業,PlushDaemon 展現了大規模擾亂營運和竊取智慧財產權的潛力。
遙測數據表明,PlushDaemon 受損的安裝程式在與韓國一家半導體公司和一家軟體開發公司相關的環境中使用。這項發現凸顯了該組織對具有戰略重要性的實體的關注,這些實體獲取專有技術或數據可以提供巨大的情報或經濟優勢。
SlowStepper 後門內部
SlowStepper 後門證明了 PlushDaemon 的技術複雜性。後門採用C++、Python、Go語言編寫,採用模組化架構,能適應各種操作需求。它包括收集大量系統資訊、錄製音訊和視訊、收集瀏覽器資料以及提取敏感檔案的功能。
SlowStepper 的與眾不同之處在於它的多層命令和控制通訊方法。它利用 DNS 查詢檢索 IP 位址以與其伺服器建立連接,確保抵禦偵測和刪除工作的能力。此外,其基於 Python 的工具允許即時執行自訂模組,使 PlushDaemon 能夠靈活地根據不斷變化的目標自訂攻擊。
供應鏈攻擊概覽
PlushDaemon 於 2023 年對韓國 VPN 提供者發動的攻擊涉及對提供者安裝套件的複雜攻擊。修改後的安裝程式不僅部署了合法軟體,還安裝了 SlowStepper 後門。下載這個誘殺包的用戶在不知情的情況下將他們的系統暴露於一系列惡意活動中。
此操作凸顯了供應鏈攻擊的危險,其中對合法軟體的信任被武器化以繞過傳統的安全措施。此類攻擊特別陰險,因為它們利用了用戶對信譽良好的供應商和軟體供應商的固有信任。
組織可以從 PlushDaemon 學到什麼
PlushDaemon 的活動強調了在整個軟體開發生命週期中強大的安全措施的至關重要性。對於組織而言,在監控供應鏈、驗證軟體完整性和實施多層防禦方面保持警惕對於減輕與高階威脅相關的風險至關重要。
該組織使用自訂後門和利用軟體漏洞也強化了對全面威脅情報和主動漏洞管理的需求。組織必須隨時了解新出現的威脅,並確保其防禦措施能夠適應不斷變化的策略。
底線
PlushDaemon 鮮明地提醒人們現代網路威脅的複雜性和持久性。雖然該組織的活動可能不會產生即時的影響,但其長期影響可能對其目標產業和實體產生重大影響。
透過了解 PlushDaemon 的策略和工具,網路安全專業人員可以更好地為未來的類似威脅做好準備。從該組織的營運中汲取的經驗教訓強調了在持續努力保護關鍵數位資產時保持警惕、協作和創新的重要性。
