Скачал VPN – получил бэкдор: как SlowStepper захватил десятки тысяч ПК

Южнокорейский VPN-провайдер IPany оказался в центре крупной кибератаки, совершённой группировкой PlushDaemon, предположительно связанной с Китаем. Злоумышленники проникли в систему разработчика и внесли изменения в установщик IPanyVPN, в результате чего при скачивании и установке программы с официального сайта пользователи заражались бэкдором под названием SlowStepper.

По данным исследователей из ESET, компрометация началась как минимум в ноябре 2023 года и продолжалась до мая 2024-го, хотя точные временные рамки пока не установлены. Специалисты подчёркивают, что атака была ориентирована не только на пользователей в Южной Корее — первые признаки заражения были обнаружены в Японии.

После проникновения в систему разработчика IPany, хакеры PlushDaemon встроили вредоносный компонент в исполняемый файл «IPanyVPNsetup.exe», который загружался вместе с архивом «IPanyVPNsetup.zip». Пользователи, ничего не подозревая, устанавливали и легитимное VPN-приложение, и вредоносный код, обеспечивавший хакерам доступ к системе.

Вредоносная программа прописывалась в реестре Windows, чтобы автоматически запускаться при каждом запуске компьютера, а также использовала механизмы DLL Sideloading для маскировки своей активности.

По словам экспертов ESET, использованная версия SlowStepper (обозначенная как 0.2.10 Lite) хоть и имеет упрощённый функционал, остаётся достаточно опасной и скрытной. Основная задача этого бэкдора — сбор разведданных и расширенная шпионская деятельность: начиная от простой кражи учётных данных и заканчивая записью звука и видео.

Кроме того, у SlowStepper есть возможность скачивать и запускать дополнительное вредоносное ПО, что даёт киберпреступникам ещё более широкий инструментарий для атаки на скомпрометированную систему.

На данный момент достоверно известно о заражении как минимум двух организаций в Южной Корее — полупроводниковой компании и фирмы, специализирующейся на разработке ПО. Названия организаций не разглашаются.

Тем не менее, поскольку вредоносная версия установщика находилась в открытом доступе на официальном сайте IPany, исследователи не исключают, что атака могла коснуться куда большего числа пользователей и компаний по всему миру.

Представители ESET уведомили IPany о компрометации, и вредоносная сборка была удалена с сайта. Однако эксперты подчёркивают, что пользователи, установившие VPN-клиент в период с ноября 2023 года до весны 2024-го, уже могут быть заражены.

В связи с этим всем, кто скачивал программное обеспечение с официального сайта за указанный промежуток времени, рекомендуется немедленно проверить свои системы на наличие SlowStepper и связанных с ним компонентов, а при необходимости — переустановить VPN-клиент и выполнить полную ревизию безопасности, включая смену паролей и перепроверку критически важных данных.

Хотя подобные атаки на цепочку поставок встречаются всё чаще, случай с IPany выглядит особенно резонансным, поскольку вектор был сосредоточен на многокомпонентном вредоносном инструменте, способном не только выполнять шпионские функции, но и полноценно управлять заражённой системой.

Исследователи в области кибербезопасности призывают компании уделять больше внимания проверке и валидации программного обеспечения перед тем, как оно становится доступно для загрузки конечным пользователям, а самим пользователям — соблюдать осторожность и использовать современные инструменты защиты от подобных угроз.