ESET: Chinese PlushDaemon-groep compromitteert wereldwijd netwerken door aanvallen met ‘adversary-in-the-middle’
ESET Research ontdekte dat de aan China gelinkte PlushDaemon-dreigingsgroep ‘adversary-in-the-middle’-aanvallen uitvoert waarbij een nog niet gedocumenteerde implantaat voor netwerktoestellen werd gebruikt, door ESET EdgeStepper genoemd. Deze leidt alle DNS-query’s om naar een kwaadaardige externe DNS-server die antwoordt met het adres van een ander knooppunt dat de updates kaapt met als doel het verkeer van software-updates om te leiden naar een door de aanvaller beheerde infrastructuur. Dit om de downloaders LittleDaemon en DaemonicLogistics te installeren op doelmachines en uiteindelijk het SlowStepper-implantaat te verspreiden. SlowStepper is een backdoor-toolkit met tientallen componenten die voor cyberspionage worden gebruikt. Deze implantaten geven PlushDaemon de mogelijkheid om wereldwijd doelwitten te compromitteren.
Sinds 2019 heeft deze aan China gelinkte groep aanvallen uitgevoerd in de Verenigde Staten, Nieuw-Zeeland, Cambodja, Hongkong, Taiwan en China zelf. Onder de slachtoffers bevonden zich een universiteit in Peking, een Taiwanees elektronicabedrijf, een bedrijf in de auto-industrie en een vestiging van een Japans bedrijf in de maakindustrie.
PlushDaemon infecteert, zoals in de ontdekte aanval, eerst een netwerktoestel waarmee het doelwit verbinding zou kunnen maken. Deze infectie gebeurt wellicht door een kwetsbaarheid te misbruiken in de software op het toestel of via zwakke en/of bekende standaard beheerdersinloggegevens, zodat de aanvallers EdgeStepper (en wellicht ook andere tools) kunnen installeren.
“Vervolgens begint EdgeStepper DNS-query’s om te leiden naar een kwaadaardig DNS-knooppunt dat controleert of het domein in het DNS-querybericht gerelateerd is aan software-updates. Zo ja, dan antwoordt het met het IP-adres van het kapende knooppunt. We zagen ook dat sommige servers zowel het DNS-knooppunt als het kapende knooppunt zijn. Het DNS-knooppunt antwoordt dan op DNS-query’s met zijn eigen IP-adres”, aldus Facundo Muñoz, de ESET-onderzoeker die de aanval ontdekte en analyseerde. Hij voegt eraan toe: “Meerdere populaire Chinese softwareproducten werden via EdgeStepper op die manier door PlushDaemon gekaapt “.
PlushDaemon is een aan China gelinkte cybercrimineel die minstens sinds 2018 actief is en spionageoperaties uitvoert tegen individuen en entiteiten in Oost-Azië en de Stille Oceaan alsook de Verenigde Staten. Het gebruikt een aangepaste backdoor die ESET erkent als SlowStepper. In het verleden heeft ESET Research waargenomen dat de groep toegang kreeg via kwetsbaarheden in webservers en in 2023 voerde het een supply chain-aanval uit.
Lees voor een meer gedetailleerde analyse van de laatste PlushDaemon-activiteiten de nieuwste ESET Research-blog “PlushDaemon compromises network devices for adversary-in-the-middle attacks” op www.WeLiveSecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky en Mastodon voor de nieuwste info over ESET Research.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
