Tin tặc Trung Quốc thỏa hiệp VPN Hàn Quốc trong cuộc tấn công chuỗi cung ứng
Theo nghiên cứu của ESET, tin tặc có liên kết với Trung Quốc đã tấn công nhà cung cấp VPN Hàn Quốc IPany qua một cuộc tấn công chuỗi cung ứng có chủ đích, làm lộ thông tin của nhiều người dùng. Những kẻ tấn công đã xâm nhập vào quy trình phát triển phần mềm của IPany, chèn mã độc vào trình cài đặt NSIS cho ứng dụng VPN trên Windows. Cuộc tấn công tinh vi này đã cho phép phát tán một cửa sau tùy chỉnh, được gọi là SlowStepper, đến tay người dùng không nghi ngờ.
Đây là một ví dụ điển hình khác về việc khai thác điểm yếu trong chuỗi cung ứng cho hoạt động gián điệp mạng. Vụ việc được phát hiện lần đầu vào tháng 5 năm 2024 bởi các nhà nghiên cứu từ công ty an ninh mạng ESET có trụ sở tại Slovakia. Họ phát hiện ra rằng trình cài đặt đã bị thay đổi và được cung cấp trực tiếp từ trang web chính thức của IPany, trong đó bao gồm cửa hậu SlowStepper.
Phần mềm độc hại dạng mô-đun này cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, thực thi lệnh và duy trì sự tồn tại lâu dài trên các hệ thống bị xâm nhập. Người dùng tải xuống các bản cập nhật phần mềm có vẻ hợp pháp đã vô tình mở ra lỗ hổng cho kẻ tấn công, cho phép họ kiểm soát đáng kể thiết bị của nạn nhân. Các nạn nhân dường như đã tự tay tải xuống một tệp ZIP chứa trình cài đặt độc hại NSIS từ URL httpsipany.
ESET đã cảnh báo về nhóm tấn công PlushDaemon, một mối đe dọa tiên tiến từ Trung Quốc, hoạt động từ ít nhất năm 2019. Nhóm này thường chiếm đoạt các kênh phân phối phần mềm hợp pháp để phát tán mã độc. Trong trường hợp này, họ đã truy cập kho lưu trữ phần mềm của IPany, thay đổi trình cài đặt và phân phối nó qua các kênh chính thức.
📢 Liên hệ quảng cáo: 0919 852 204
Quảng cáo của bạn sẽ xuất hiện trên mọi trang!
Các chiến thuật của họ bao gồm chuyển hướng lưu lượng hợp pháp đến các máy chủ do kẻ tấn công kiểm soát để phát tán các bản cập nhật độc hại, đặc trưng cho việc xâm phạm chuỗi cung ứng. Trung Quốc có nhiều nhóm APT hoạt động trong lĩnh vực gián điệp mạng nhắm vào Mỹ và các đồng minh. Gần đây, APT Trung Quốc Salt Typhoon đã xâm nhập vào mạng lưới các nhà cung cấp dịch vụ băng thông rộng của Mỹ, nhưng cuộc điều tra đã gặp khó khăn khi Tổng thống Trump sa thải hội đồng an ninh mạng phụ trách.
Sự xuất hiện của nhóm APT PlushDaemon, một nhóm tinh vi liên kết với Trung Quốc, cùng với bộ công cụ đa dạng và lịch sử hoạt động lâu dài, cho thấy mối đe dọa mạng đang gia tăng. Các chuyên gia khuyến cáo tổ chức cần cảnh giác trước các hoạt động độc hại ngày càng tinh vi. Vụ vi phạm tại IPany cũng nhấn mạnh rằng ngay cả những nhà cung cấp được tin cậy cũng có thể bị tấn công mạng, do đó cần có cách tiếp cận chủ động trong bảo mật.
Nguồn: www.tomshardware.com/tech-industry/cyber-security/chinese-hackers-compromise-south-korean-vpn-malicious-code-found-inside-nsis-installer