PlushDaemon APT Targets South Korean VPN Provider in Supply Chain Attack
- 공격 개요
- 공격 그룹: PlushDaemon (중국 연계의 APT 그룹)
- 대상: 한국 VPN 공급자 IPany
- 공격 시기: 2023년, 공급망 공격 형태
- 공격 기법: 정상적인 설치 프로그램에 악성 코드 삽입, SlowStepper 백도어 배포
- PlushDaemon APT 특징
- 활동 시작: 2019년부터 활동 중
- 주요 공격 도구: SlowStepper 백도어 (30개 이상의 모듈로 구성)
- 사용 언어: C++, Python, Go
- 공격 경로: 소프트웨어 업데이트 채널 악용, 웹 서버 취약점을 통해 초기 접근
- 공격 단계
- 악성 코드 포함된 IPanyVPNsetup.exe 실행
- SlowStepper 백도어 로딩 및 persistence 유지
- AutoMsg.dll와 EncMgr.pkg 파일을 사용해 추가 악성 DLL 로드
- SlowStepper 백도어 실행: 시스템 정보 수집, 웹캠 사진 촬영, 화면 녹화, 브라우저 데이터 수집 등
- C&C (Command and Control) 통신
- DNS 쿼리를 통해 C&C 서버와 연결
- 7051.gsm.360safe[.]company 도메인 사용
- Fallback C&C 서버: st.360safe[.]company 도메인 활용
- 대상 및 피해
- 주요 피해자: 한국의 반도체 기업 및 소프트웨어 개발 기업
- 중국, 일본 등에서 피해자 발생
- 브라우저 및 메신저 데이터, 비밀번호 수집
- 보안 권고
- VPN 설치 프로그램에 대한 보안 점검 필수
- 정기적인 보안 업데이트와 취약점 패치 적용
- 네트워크 모니터링을 통한 비정상적인 활동 탐지
- 공급망 공격에 대한 사전 예방적 대응 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CISA, 소프트웨어 이해 격차 해소를 위한 지침 발표 (0) | 2025.02.02 |
|---|---|
| 2025년 1월 20일 사이버 보안 위협 요약 (0) | 2025.02.02 |
| MasterCard DNS 오류, 수년간 무시되다 (0) | 2025.02.01 |
| Star Blizzard의 스피어 피싱 캠페인 - WhatsApp 계정 탈취 위협 (0) | 2025.02.01 |
| 지속적 위협 노출 관리(CTEM) - 선제적 보안을 위한 프레임워크 (0) | 2025.02.01 |