ESET ontdekt nieuwe China-geallieerde APT-groep PlushDaemon en supply-chain aanval op Zuid-Koreaanse VPN-dienst
ESET -onderzoekers hebben een supply-chain aanval ontdekt op een VPN-provider in Zuid-Korea, uitgevoerd door een nieuw ontdekte China-geallieerde APT-groep genaamd PlushDaemon. Tijdens deze cyberespionageoperatie hebben de aanvallers de legitieme installer vervangen door een versie die zowel de legitieme software als het kenmerkende implantaat van de groep, SlowStepper, installeert. SlowStepper is een geavanceerde backdoor met meer dan 30 modules.
De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in onder andere China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland.
"In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.
Daarnaast krijgt PlushDaemon initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer naar servers die door de aanvallers worden beheerd. ESET heeft ook waargenomen dat de groep toegang verkrijgt via kwetsbaarheden in legitieme webservers.
De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. Deze backdoor valt op door zijn meerfasige C&C-protocol via DNS en zijn mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren.
De malware verzamelt gegevens uit webbrowsers, kan foto’s maken, documenten scannen, informatie uit verschillende applicaties verzamelen (zoals WeChat en Telegram), audio en video opnemen, en wachtwoordgegevens stelen.
“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.
Voor een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset, raadpleeg de nieuwste ESET Research-blogpost: “China-aligned PlushDaemon compromises supply chain of Korean VPN service” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Uitvoering van SlowStepper
Meer over
Lees ook
ESET publiceert het nieuwste APT Activity Report Q2- Q3 2024
ESET-onderzoekers hebben het nieuwste APT Activity Report uitgebracht, waarin de activiteiten worden belicht van geselecteerde APT-groeperingen (advanced persistent threat) die door ESET-onderzoekers zijn gedocumenteerd van april 2024 tot eind september 2024. ESET observeerde onder andere een opmerkelijke uitbreiding van de aanvallen door het Chin1
ESET ontdekt CloudScout: De Chinese Evasive Panda richt zich op Taiwan en gegevens die zijn opgeslagen in de cloud
ESET-onderzoekers hebben een niet eerder gedocumenteerde toolset ontdekt die door de aan China gelieerde groep Evasive Panda wordt gebruikt om toegang te krijgen tot gegevens uit cloudservices zoals Google Drive, Gmail en Outlook en deze gegevens te exfiltreren. De toolset CloudScout werd van 2022 tot 2023 gebruikt om een overheidsinstantie en een1
Vijf stappen die organsaties helpen tegen cybercriminelen die AI gebruiken
AI biedt de maatschappij verschillende voordelen, maar helaas gebruiken cybercriminelen deze nieuwe technologie ook. Ervaren en onervaren cybercriminelen gebruiken AI, denk aan het efficiënter verzamelen van gegevens. Ook worden large language modellen ingezet om phishingberichten te maken.