Eset, PlushDaemon olarak adlandırdığı siber casusluk operasyonları yürüten bir Çin bağlantılı Gelişmiş Kalıcı Tehdit (APT) grubunu keşfetti. Eset araştırmacıları bu grubun Güney Kore’deki bir VPN hizmetine yönelik tedarik zinciri saldırısı düzenlediğini de tespit etti.
Bu siber casusluk operasyonunda saldırganlar, yasal yükleyiciyi, Eset’in SlowStepper adını verdiği ve 30’dan fazla bileşenden oluşan bir araç setine ve zengin özelliklere sahip bir arka kapı olan grubun imza implantını da dağıtan bir yükleyiciyle değiştirdiler. Çin’e bağlı tehdit aktörü en az 2019’dan beri aktif. Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki kişi ve kuruluşlara karşı casusluk operasyonları yürütüyor.
Keşfi yapan Eset araştırmacısı Facundo Muñoz şu açıklamayı yaptı:
“Mayıs 2024’te, Güney Kore’deki kullanıcıların yasal VPN yazılımı IPany’nin web sitesinden indirdikleri Windows için bir NSIS yükleyicisinde kötü amaçlı kod tespit ettik. Analizin daha sonrasında yükleyicinin hem yasal yazılımı hem de arka kapıyı dağıttığını keşfettik. VPN yazılımının geliştiricisiyle temasa geçerek durumu bildirdik ve kötü amaçlı yükleyici web sitelerinden kaldırıldı. PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmeyen bu Çin bağlantılı APT grubunun çok çeşitli araçlar geliştirmek için özenle çalıştığını gösteriyor ve bu da onu dikkat edilmesi gereken önemli bir tehdit haline getiriyor”
PlushDaemon, trafiği saldırgan kontrolündeki sunuculara yönlendirerek Çin uygulamalarının meşru güncellemelerini ele geçirme tekniğiyle ilk erişimi elde ediyor. Eset, grubun yasal web sunucularındaki güvenlik açıkları üzerinden erişim sağladığını da gözlemledi.
SlowStepper arka kapısı sadece PlushDaemon tarafından kullanılmaktadır. Bu arka kapı, DNS kullanan çok aşamalı C&C protokolünün yanı sıra casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirme ve çalıştırma yeteneği ile dikkat çekiyor. Kötü amaçlı yazılım web tarayıcılarından çok çeşitli veriler toplar; fotoğraf çekebilir, belgeleri tarar, mesajlaşma uygulamaları (örneğin WeChat, Telegram) dahil olmak üzere çeşitli uygulamalardan bilgi toplar, ses ve video yoluyla casusluk yapabilir ve parola kimlik bilgilerini çalabilir.
Kaynak : 