Business
Trending
TechPulse op WhatsApp Windows 11 Philips Hue Alles over e-bikes
Wire
Onze partner

Aan China gelinkte FishMonger moderniseert zijn arsenaal en richt zich op Azië en Latijns-Amerika, meldt ESET

ESET
© ESET

Onderzoekers van ESET hebben twee nog niet gedocumenteerde Windows-varianten (WIN_DRV en WIN_PLUS) van SprySOCKS ontdekt, een backdoor die vroeger enkel voor Linux beschikbaar was en zou gebruikt zijn door FishMonger, een groep wellicht geleid door I-SOON, een Chinese contractor. Hoewel ESET de malware-stalen eerst op VirusTotal in april 2024 ontdekte, toont de ESET-telemetrie reële activiteiten tussen 2023 en 2024, met als doelwit overheidsorganisaties en meerdere slachtoffers in Taiwan, Thailand, Pakistan en Honduras.

De WIN_DRV-variant ondersteunt meer dan 30 Command and Control (C&C)-opdrachten, die diverse functionaliteiten omvatten, waaronder het verzamelen van systeeminformatie en het opsommen van processen alsook functies voor service- en bestandsbeheer; zoals het weergeven, aanmaken, verwijderen en overdragen van bestanden.

Naast de kernfunctionaliteit van de backdoor, gebruikt die van FishMonger een kernel-stuurprogramma voor geavanceerde verborgen functionaliteiten. SprySOCKS gebruikt dit programma om de netwerkverbindingen, processen, bestanden en registersleutels van de malware te verbergen en maakt TCP-omleidingen mogelijk. Zo kunnen de operatoren van de malware commando’s naar de backdoor sturen via een willekeurige TCP-poort op het toestel van het slachtoffer, zonder dat de werkelijke luisterpoort van de backdoor in het netwerk zichtbaar wordt.

“De Windows-versie behoudt het grootste deel van de kernarchitectuur van zijn Linux-voorganger – inclusief het C&C-protocol, de encryptie en de logica voor het afhandelen van commando’s – terwijl, waar nodig, Windows-eigen mechanismen gebruikt worden en de onzichtbaarheid van de backdoor verbeterd wordt door het gebruik van de kernel-stuurprogramma’s. Door enkele aanwijzingen voor mogelijke betrokkenheid van een UEFI-bootkit, adviseren we om de activiteiten van de groep goed in de gaten te houden”, aldus ESET-onderzoeker Martin Smolár, die het nieuwste arsenaal van FishMonger ontdekte en analyseerde.

Volgens de ESET-telemetrie zijn er toch aanwijzingen dat sommige SprySOCKS-aanvalsscenario’s een UEFI-bootkitcomponent zouden omvatten, mogelijk met gebruik van CVE 2023 24932.

FishMonger – vermoedelijk beheerd door een Chinese contractor, I-SOON genaamd – is een cyberespionagegroep die onder de Winnti Group valt en hoogstwaarschijnlijk vanuit de stad Chengdu in China werkt. De groep is ook bekend onder de namen Earth Lusca, TAG-22, Aquatic Panda of Red Dev 10. ESET Research bracht begin 2020 een analyse van FishMonger, toen de groep zich sinds de burgerprotesten van juni 2019 vooral op universiteiten in Hongkong richtte. De groep voert ook zogenaamde ‘watering-hole’-aanvallen uit. FishMonger gebruikt onder andere de tools ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.

Voor een meer gedetailleerde analyse van FishMonger’s nieuwste wapenarsenaal, raadpleeg de blog van ESET Research op www.WeLiveSecurity.com : “Fishmonger’s arsenal upgraded: SprySOCKS for Windows”. Volg ESET Research op BlueSky en Mastodon voor het laatste nieuws van ESET Research.

Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.

Google Voeg TechPulse.be toe als favoriete bron op Google!
esetpartnerinfo
TechPulse Onze Partner
Onze partner

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Google Voeg TechPulse.be toe als favoriete bron op Google!
€50,00 korting op de Dyson PencilWash: compacte Wet&Dry-stofzuiger

€50,00 korting op de Dyson PencilWash: compacte Wet&Dry-stofzuiger

Bespaar nu

Nieuw op TechPulse

Business