Penyedia VPN Korea Selatan IPany dibobol dalam serangan rantai pasokan oleh kelompok peretasan “PlushDaemon” yang bersekutu dengan Tiongkok, yang menyusupi penginstal VPN perusahaan tersebut untuk menyebarkan malware khusus ‘SlowStepper’.
Para peretas berhasil menyusup ke platform pengembangan IPany dan memasukkan pintu belakang ‘SlowStepper’ khusus pada penginstalnya (‘IPanyVPNsetup.exe’), yang menginfeksi sistem pelanggan saat VPN dipasang.
Menurut peneliti ESET yang mengungkap serangan rantai pasokan, perusahaan yang terkena dampak serangan tersebut termasuk perusahaan semikonduktor Korea Selatan dan perusahaan pengembangan perangkat lunak. Namun, tanda-tanda pertama korban yang terinfeksi terjadi pada November 2023 di Jepang.
Aktivitas SlowStepper
Pelanggan IPany terinfeksi setelah mengunduh penginstal ZIP program (‘IPanyVPNsetup.zip’) dari situs web perusahaan.
Setelah penginstal dijalankan, penginstal akan menginstal produk VPN yang sah serta file berbahaya (‘svcghost.exe’), yang mana kunci Jalankan ditambahkan di Registri untuk persistensi.
Sumber: ESET
Payload SlowStepper dimuat dari file gambar (‘winlogin.gif’) melalui DLL berbahaya (‘lregdll.dll’) yang dimasukkan ke dalam proses ‘PerfWatson.exe’. Eksekusi svcghost memantau proses untuk memastikan proses selalu berjalan.
ESET mengatakan versi khusus SlowStepper yang digunakan dalam serangan ini adalah 0.2.10 Lite, yang fiturnya tidak selengkap versi standar namun bisa lebih tersembunyi karena ukurannya yang lebih kecil dan masih merupakan alat yang ampuh.
“Baik versi lengkap maupun Lite menggunakan serangkaian alat yang diprogram dengan Python dan Go, yang mencakup kemampuan untuk mengumpulkan data secara ekstensif, dan memata-matai rekaman audio dan video,” jelas ESET.
Perintah terpenting yang didukung oleh SlowStepper adalah:
- 0x32 – Mengumpulkan berbagai detail sistem, termasuk merek CPU, nomor seri HDD, komputer dan nama host, alamat IP publik, proses yang berjalan, aplikasi yang diinstal, antarmuka jaringan, memori sistem, webcam, dan status mikrofon, dan apakah OS berjalan di a mesin virtual.
- 0x5A – Ambil dan jalankan file dari server C&C, memungkinkan instalasi payload tambahan.
- 0x3F – Menghitung file dan direktori pada sistem yang disusupi.
- 0x38 – Jalankan alat spyware berbasis Python yang dirancang untuk berbagai fungsi spionase, seperti pencurian data browser, keylogging, dan pengambilan kredensial.
- 0x3A – (Aktivasi mode Shell) Memungkinkan eksekusi langsung perintah sistem, menyediakan lingkungan interaktif bagi penyerang untuk mengendalikan mesin yang disusupi.
- 0x39 – Menghapus file atau direktori tertentu, yang dapat digunakan untuk menghapus jejak malware atau mengganggu fungsionalitas sistem.
- panggilan darurat – Memuat dan menjalankan modul spyware Python tertentu, seperti “Browser” untuk mencuri data browser, “WeChat, Telegram, DingTalk” untuk mengekstrak log obrolan, “ScreenRecord” untuk menangkap aktivitas layar, “Kamera” untuk mengambil gambar menggunakan webcam, dan “CollectInfo” untuk memindai disk untuk dokumen sensitif.
Sumber: ESET
Para peneliti menghubungi vendor VPN untuk memberi tahu mereka tentang penyusupan tersebut, dan penginstal berbahaya telah dihapus dari situs web. Namun, mereka yang sudah terinfeksi perlu mengambil tindakan untuk membersihkan sistem mereka.
ESET menggarisbawahi bahwa halaman unduhan tidak menampilkan mekanisme geo-fencing atau alat lain apa pun untuk menunjukkan penargetan tertentu, sehingga siapa pun yang mengunduh IPanyVPN dari November 2023 (dan mungkin lebih awal) hingga Mei 2024 telah terinfeksi oleh SlowStepper.
Daftar lengkap indikator kompromi (IoC) yang terkait dengan kampanye ini dapat ditemukan di sini.
