Güney Kore VPN Şirkətinə hücum: PlushDaemon APT qrupunun Qarşı Zərbəsi

Posted by:
Gunel Rahimli
Ca, 23 Yan
0 Comment
Feature image

Çin-ə bağlı bir siber casusluq qrupunun, köməkçi bir VPN xidmətindən istifadə edərək proqram qurğularını yaymaq və qurbanların fəaliyyətlərini casuslaşmaq üçün istifadə etdiyi iddia olunur. ESET təhlükəsizlik tədqiqat komandası, Güney Kore VPN təminatçısı IPany-in Windows quraşdırıcısında, köməkçi proqramla birlikdə zərərli kod aşkar etdi. Adıçəkilən PlushDaemon APT qrupunun, etibarlı Çin tətbiqlərinin güncəlləmələrini də ele keçirdiyi bilinir, amma güvənilir Kore VPN şirkətinə qarşı etibarlı təchizat zərbəsi hücumu, ESET ekspertlərinə görə “nəzarət etmək üçün əhəmiyyətli bir təhlükədir”.

Yavaş Ayagdalı arxa qapısı
ESET-in yeni hesabatı, əvvəlcədən açıqlanmamış bir Çin əməyi APT qrupu olan PlushDaemon haqqında işıq tutdu, ekspertlərə görə, 2019-cu ildən ən az əvvəldən fəal olduğuna inanılır, və onların biri məqsədli əməliyyatlarından biri də məqsədli fəaliyyətləri casuslaşmaqdır. Bunun üçün hakerlar, Çin tətbiqlərinin etibarlı güncəlləmələrini ele keçirib, Cənubi Kore VPN təminatçısı IPany-qarşı bir təminat zərbəsi hücumunu başlatdılar. Hər ikisi də qurbanın proqramı quraşdırarkən qurğuya zərərli bir arxa qapının daxil edilməsini tələb edir. Ayagdalı kimi adlandırılan arxa qapı, məqbul məlumatların geniş toplanması və səs və video qeydləri vasitəsilə casusluq etməyə imkan verən bir irəli infrastruktur üzərində qurulub.

“Xüsusilə məqsədli yükləmələr yaratmaq üçün yükləmə səhifəsində şübhəli kod tapmadıq, məsələn, müəyyən məqsədli bölgələrə və ya IP aralıqlarına geofencing, ” ekspertlər izah edirlər. “Beləliklə, IPany VPN istifadə edən hər kəsin düzgün məqsədi ola biləcəyinə inanırıq.” Zərərli IPanyVPNsetup.exe quraşdırıcısını işə saldıqda, bir neçə qovluq yaratır və həm məqbul, həm də zərərli fayllar yerləşdirir.

Ekspertlər, kompromis haqqında VPN proqramı müəllifləri ilə əlaqə saxladı. Şirkət daha sonra zərərli quraşdırıcını veb saytdan silib. Bununla belə, ESET-aşkarlamaları, İnternet istifadəçilərinin təhlükəsizliyi üçün narahatlıq doğurur, xüsusilə də, haker qrupunun belə uzun müddət radarın altında qalması göz önündə tutularaq. “PlushDaemon alətlərinin çoxlu komponentləri və zəngin versiya tarixi, əvvəllər bilinməyən belə Çinə yönəlmiş APT qrupunun geniş fəaliyyət göstərərək çeşidli alətlər əmələ gətirməklə mühüm bir təhlükə olduğunu göstərir,” dedilər ekspertlər. “Daha da pis, bu, VPN istifadəçilərinin – yəni, onlayn məlumatlarını qorumağa aktiv olaraq baxan birinin – əsas məqsəddar olduğu yeganə hallardan biri deyil. Google, Paylayqhost təcavüzkarlarının VPN tətbiqlərindən istifadə edərək cihazları zərərli proqramlarla infekte etmək üçün yanvar 2025-in əvvəlində eyni təhlükə haqqında xəbərdarlıq etdi. Vebdə yeni proqram yükləyərkən ehtiyatlı olmağı məsləhət görürəm. Əgər cihazınız qeyri-adi davranırsa, mümkünsə, zərərli proqram təmizləmə xidmətini işə salmalı və ehtimal olan təhlükəni pozmaq üçün sistemə yenidən başlamaq məqsədi ilə düşünməlisiniz.”

Tags:

0 0 votes
Article Rating
Subscribe
Notify of
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments