ESET, Çin bağlantılı bir Gelişmiş Kalıcı Tehdit (APT) grubu olan PlushDaemon’ı tespit etti. Bu grup, Güney Kore’deki bir VPN hizmetine tedarik zinciri saldırısı düzenleyerek, yasal yazılımları kötü amaçlı yazılımla değiştirdi ve arka kapı implantları dağıttı.
Grubun kullandığı SlowStepper adlı arka kapı, DNS tabanlı çok aşamalı C&C protokolüyle ve casusluk modülleriyle dikkat çekiyor. ESET, saldırganların, yasal VPN yazılımını hedef alarak kullanıcıların bilgisayarlarına casus yazılım enjekte ettiğini belirtti.
PlushDaemon’ın hedef aldığı ülkeler arasında Çin, Tayvan, Hong Kong, Güney Kore, ABD ve Yeni Zelanda yer alıyor. Grup, çok çeşitli araçlar geliştiren ve dikkatle planlanmış saldırılar düzenleyen önemli bir tehdit olarak tanımlandı.
ESET ayrıca, UEFI tabanlı sistemleri etkileyen ve UEFI Secure Boot’u atlatan bir güvenlik açığı keşfetti. CVE-2024-7344 olarak tanımlanan güvenlik açığı, Microsoft’un üçüncü taraf UEFI sertifikasıyla imzalanmış bir uygulama üzerinden ortaya çıktı ve sistem önyükleme sırasında güvenilmeyen kodların çalıştırılmasına neden olabilir.
Bu güvenlik açığı, UEFI Güvenli Önyükleme’yi aşarak kötü amaçlı önyükleme kitlerinin yayılmasına imkan tanır ve bilgisayarların güvenliğini tehdit eder. Etkilenen yazılım, çeşitli gerçek zamanlı sistem kurtarma yazılımları tarafından kullanılıyor.
ESET, güvenlik açığını Haziran 2024’te CERT Koordinasyon Merkezi’ne bildirdi ve bu merkez de sorunu başarılı bir şekilde iletti. Microsoft, 14 Ocak 2025’te bu güvenlik açığına karşı bir yama güncellemesi yayınladı ve etkilenen yazılımlar iptal edildi.
ESET araştırmacısı Martin Smolár, bu tür güvenlik açıklarının UEFI Secure Boot gibi temel güvenlik özelliklerini aşılabilir hale getirdiğini belirterek, üçüncü taraf UEFI yazılım satıcılarının güvensiz teknikler kullanma eğiliminin büyük bir risk oluşturduğuna dikkat çekti.
