ESET ontdekt nieuwe China-geallieerde APT-groep PlushDaemon en supply-chain aanval op Zuid-Koreaanse VPN-dienst
ESET -onderzoekers hebben een supply-chain aanval ontdekt op een VPN-provider in Zuid-Korea, uitgevoerd door een nieuw ontdekte China-geallieerde APT-groep genaamd PlushDaemon. Tijdens deze cyberespionageoperatie hebben de aanvallers de legitieme installer vervangen door een versie die zowel de legitieme software als het kenmerkende implantaat van de groep, SlowStepper, installeert. SlowStepper is een geavanceerde backdoor met meer dan 30 modules.
De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in onder andere China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland.
"In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.
Daarnaast krijgt PlushDaemon initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer naar servers die door de aanvallers worden beheerd. ESET heeft ook waargenomen dat de groep toegang verkrijgt via kwetsbaarheden in legitieme webservers.
De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. Deze backdoor valt op door zijn meerfasige C&C-protocol via DNS en zijn mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren.
De malware verzamelt gegevens uit webbrowsers, kan foto’s maken, documenten scannen, informatie uit verschillende applicaties verzamelen (zoals WeChat en Telegram), audio en video opnemen, en wachtwoordgegevens stelen.
“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.
Voor een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset, raadpleeg de nieuwste ESET Research-blogpost: “China-aligned PlushDaemon compromises supply chain of Korean VPN service” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Uitvoering van SlowStepper
Meer over
Lees ook
KnowBe4 lanceert Threat Lab om cyberaanvallen te beperken
KnowBe4, het cybersecurityplatform op het gebied van menselijk risicomanagement, lanceert Threat Labs Research and Analysis Initiative. Threat Labs is een nieuw initiatief om cyberaanvallen gericht op mensen te beperken.
Nauwe samenwerking tussen netwerk- en beveiligingsteams versterkt de cyberweerbaarheid
Zowel cyberdreigingen als netwerken worden steeds complexer. Hierdoor wordt het voor organisaties steeds moeilijker om een hoog IT-beveiligingsniveau te handhaven. Daarnaast vormt de traditionele scheiding tussen netwerk- en beveiligingsteams vaak een uitdaging. Dit vraagt om een gecentraliseerd managementplatform dat inzicht biedt in netwerk- en1
Dit zijn de 5 cybersecurity-voorspellingen van KnowBe4 voor 2025
De voorspelde trends zijn verzameld door het EMEA-team van security awareness advocates van KnowBe4 met tientallen jaren ervaring op het gebied van cybersecurity. Ga voor meer informatie over KnowBe4's team van experts naar https://www.knowbe4.com/security-awareness-training-advocates.