Китайские кибершпионы нацелились на южнокорейскую VPN в ходе атаки на цепочку поставок
Группа, которую исследователи из ESET Research, обнаружившие ее, окрестили PlushDaemon, обычно стремится перехватывать легитимные обновления китайских приложений в своих вредоносных операциях «путем перенаправления трафика на контролируемые злоумышленниками серверы», согласно сообщению в блоге исследователя ESET Факундо Муньоса, опубликованному 22 января.
«Кроме того, мы наблюдали, как группа получает доступ через уязвимости в легитимных веб-серверах», — написал он.
Однако исследователи также обнаружили, что в мае 2024 года группа внедрила вредоносный код в установщик NSIS для Windows-версии программного обеспечения VPN южнокорейской компании IPany, что представляет собой отход от ее типичных операций, заявили они.
ESET уведомила IPany, и вредоносный установщик был удален с веб-сайта компании.
PlushDaemon активен по крайней мере с 2019 года, занимаясь кибершпионскими операциями против отдельных лиц и организаций в материковом Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии.
По данным ESET, группа является эксклюзивным пользователем нескольких типов вредоносного ПО в своей вредоносной деятельности, в частности, специального модульного бэкдора для сбора различных данных с зараженных машин под названием SlowStepper для Windows.
Нетипичная атака на цепочку поставок Первые признаки атаки на цепочку поставок появились в мае 2024 года, когда исследователи ESET заметили вредоносный код в установщике NSIS для Windows, который пользователи из Южной Кореи загрузили с сайта IPany.
«Похоже, жертвы вручную загрузили ZIP-архив, содержащий вредоносный установщик NSIS, с URL https://ipany[.
]kr/download/IPanyVPNsetup.
zip», — написал Муньос.
Однако исследователи не обнаружили на странице загрузки подозрительного кода «для создания целевых загрузок, например, путем геозонирования определенных целевых регионов или диапазонов IP».
Это привело их к мысли, что «любой, кто использует IPany VPN, мог быть допустимой целью». Несколько пользователей попытались установить троянизированное программное обеспечение в сети полупроводниковой компании и неустановленной компании по разработке программного обеспечения в Южной Корее.
Дальнейшие исследования выявили еще более старые случаи заражения через кампанию, причем два самых старых были получены от жертвы в Японии в ноябре 2023 года и жертвы в Китае в декабре 2023 года, сообщили исследователи.
Бэкдор SlowStepper Полезная нагрузка в атаке на цепочку поставок — собственный бэкдор PlushDaemon SlowStepper, который имеет более 30 модулей.
Однако группа использовала «облегченную» версию бэкдора в атаке IPany, которая содержит меньше функций, чем другие предыд.
Рекомендуемая Ripple библиотека xrpl.js скомпрометирована атакой на цепочку поставок Многие версии JavaScript-библиотеки xrpl.js Ripple в npm оказались скомпрометированы неизвестными злоумышленниками в рамках атаки на цепочку поставок …
Наука и Технологии 00:26, апреля 28, 2025 | xakep.ruКаскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs Исследователи продолжают изучать каскадную атаку на цепочку поставок в GitHub Actions, связанную со взломом tj-actions/changed-files и нацеленную на …
Наука и Технологии 00:26, апреля 8, 2025 | xakep.ruКрупнейшая в истории атака на цепочку поставок принесла хакерам менее 1000 долларов Самая крупная атака за всю историю экосистемы npm затронула примерно 10% облачных сред. Однако специалисты пришли к выводу, что злоумышленники не сум …
Наука и Технологии 07:26, сентября 12, 2025 | xakep.ruКитайские товары не спешат в Россию // Как предприниматели справляются со снижением поставок из КНР Российский бизнес ждет сокращения импорта из Китая из-за проблем с платежами. Поставки из КНР уже снижаются два месяца подряд. В апреле показатель уп …
Бизнес 14:18, мая 16, 2024 | kommersant.ruКитайские машины в РФ пользуются популярностью из-за «превосходного качества» и цены. Посол КНР рассказал о росте поставок Китайский посол в России Чжан Ханьхуэй заявил, что поставки автомобилей из Поднебесную продолжает расти, а также добавил, что они очень популярны в н …
Наука и Технологии 06:54, мая 8, 2024 | ixbt.comПод Белгородом два человека пострадали в ходе атаки ВСУ Украинские боевики в очередной раз атаковали территорию Белгородской области. Досталось от неприятельского дрона-камикадзе селу Петровка. …
Происшествия 06:06, мая 19, 2024 | news.rambler.ru
В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и …
Интернет и Игры 07:26, сентября 7, 2025 | opennet.ruДом и больница пострадали в ходе атаки БПЛА в Волгограде Жители южной части Волгограда сообщают, что этим утром снова проснулись от жутких звуков, похожих на взрывы — город опять атаковали украинские дроны. …
Общие новости 14:26, сентября 13, 2025 | novostivolgograda.ru
В Курской области спасатель получил ранение в ходе атаки ВСУ Сегодня, 14 мая, укронацисты вновь атаковали территорию нашего региона. На этот раз, с помощью дрона они сбросили взрывное устройство на домовладение …
Общие новости 22:30, мая 14, 2024 | KurskTV.Ru
РКН: Сведений о краже личных данных в ходе хакерской атаки на «Аэрофлот» нет Заявления хакеров о краже персональных данных клиентов или сотрудников «Аэрофлота» пока не подтверждаются фактами.Об этом сегодня, 28 июля, заявили в …
Технологии 21:26, июля 28, 2025 | eadaily.com NYT: Китайские дипломаты заявили о потере доверия к США после атаки по Ирану Китайские власти резко осудили воздушные удары США по ядерным объектам Ирана и заявили о потере доверия к Вашингтону. Власти КНР обвинили США в подры …
Общие новости 14:26, июня 23, 2025 | vz.ru Почему последние китайские учения признали «репетицией атаки на Тайвань», в отличие от предыдущих Военные эксперты объявили манёвры китайского флота «генеральной репетицией». Китай снова провёл учения у берегов Тайваня с заходом в территориальные …
Наука и Технологии 06:48, мая 29, 2024 | ferra.ru
Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, зафиксировал новую активность группировки... …
Интернет и Игры 20:36, апреля 17, 2024 | cnews.ru HTB Administrator. Эксплуатируем цепочку уязвимых ACL для захвата домена Для подписчиковВ этот раз я покажу, как можно эксплуатировать цепочку чрезмерных разрешений Active Directory. Мы завладеем FTP-сервером, потом разбер …
Наука и Технологии 14:26, апреля 22, 2025 | xakep.ru КНДР запустила сотни воздушных шаров с мусором в Южную Корею. Это ответ на «южнокорейскую пропаганду». Похожий «обмен» между странами практиковали во время холодной войны Воздушный шар с мусором, приземлившийся в южнокорейском городе Чхорвоне 1 июня КНДР второй раз за неделю запустила в сторону Южной Кореи сотни воздуш …
Общие новости 22:06, июня 3, 2024 | meduza.io Можно ли вернуть в магазин золотую цепочку, если на ней образовался залом? Суд рассматривал вопрос, связан ли данный деффект с неправильной эксплуатацией товара или возник по вине производителя. …
Власть и Закон 15:42, июня 11, 2024 | garant.ru Слуцкий после гибели Раиси обратил внимание на цепочку "трагических совпадений" Соболезнования в связи с гибелью президента Ирана Эбрахима Раиси выразил глава Комитета Госдумы по международным делам, лидер ЛДПР Леонид Слуцкий. Он …
Общие новости 13:24, мая 20, 2024 | life.ru Ливны нацелились на нулевой травматизм Программа с таким названием появилась в Ливенском районе. Фото: СУ СК России по Орловской области Администрация Ливенского района Орловской области у …
Общие новости 18:24, июня 9, 2024 | orelgrad.ru «Бавария» и «Ювентус» нацелились на защитника «ПСЖ» Центральный защитник «ПСЖ» Милан Шкриньяр может продолжить карьеру в другом топ-клубеЧитать дальше → …
Футбол 07:26, августа 24, 2024 | euro-football.ru
«Карманники» тоже нацелились на ПМЭФ Но «поработать» им не дали. В Петербурге полиция задержала этническую группу воришек. С декабря прошлого года в отделы полицию центральной части Пете …
Общие новости 23:18, июня 4, 2024 | konkretno.ru Представляем цепочку Mandala Chain, Polkadot L1 нацелена на более чем 10 миллионов новых кошельков в Индонезии [ПРЕСС-РЕЛИЗ – Бали, Индонезия, 5 июня 2024 г.] Цепочка мандалы: полезность и внедрение в реальном мире, начиная с Индонезии Mandala Chain, парачейн …
Крипто 21:00, июня 5, 2024 | cryptobrokers.ru
Эксперты: мошенники в России нацелились на школьников По прогнозам кибераналитиков, в период летних каникул ожидается рост мошеннических атак на школьников. Это связано с увеличением их свободного времен …
Наука и Технологии 21:26, июня 7, 2025 | androidlime.ru
Bel Suono нацелились на стадионное шоу в год своего 15-летия Фортепианное трио Bel Suono выступило с живым концертом в прямом эфире «Авторадио». Вальс из кинофильма «Берегись автомобиля», попурри на... …
Знаменитости 14:26, февраля 23, 2025 | intermedia.ru США ввели сотни санкций против России и нацелились ... Соединенные Штаты в среду ввели сотни новых санкций против России в связи с конфликтом на Украине, которые направлены на обход Москвой западных мер, …
Экономика и Финансы 13:42, мая 2, 2024 | profinance.ru