Onze website is momenteel in aanbouw. Bedankt voor je geduld!

Zelfs het zoeken naar bescherming kan gevaarlijk zijn. Blijf op de hoogte van nieuwe gevaren met ESET Threat Intelligence

By juni 11, 2025Artikelen6 min read

Zelfs mensen die duizenden jaren geleden leefden, begrepen al dat ‘kennis macht is’. In het licht van de huidige snelle ontwikkelingen in technologie, waaronder cyberdreigingen en cyberverdediging, is deze oude wijsheid relevanter dan ooit in ons digitale tijdperk.

Een treffend voorbeeld is recent onderzoek van ESET naar de nieuw ontdekte, aan China gelieerde APT-groep PlushDaemon, gepresenteerd door ESET Malware Researcher Facundo Muñoz tijdens de JSAC 2025-conferentie. Dit onderzoek toont aan hoe verschillende gebruikers die op zoek waren naar bescherming via een legitieme Zuid-Koreaanse VPN-service in werkelijkheid trojanized VPNsoftware installeerden die spyware bevatte.

In dit geval stopte ESET Endpoint Protection niet alleen de malware, maar voor degenen die gebruikmaken van ESET Threat Intelligence en de diverse feeds daarvan, ligt een nog krachtiger hulpmiddel binnen handbereik: kennis. Kennis over de nieuwe dreiging, de gecompromitteerde legitieme URL en Indicatoren van Compromis (IoC). Met deze kennis konden zij de dreiging eenvoudig vermijden en hun verdediging controleren op de gedocumenteerde PlushDaemon-tools.

PlushDaemon

In mei 2024 merkten ESET-onderzoekers dat gebruikers in Zuid-Korea een NSIS-installatieprogramma voor Windows hadden gedownload van de website van een legitieme Zuid-Koreaanse VPNaanbieder. Dit installatieprogramma installeerde zowel de legitieme software als het implantaat dat ESET-onderzoekers ‘SlowStepper’ noemden.

Een ander aanvalsscenario van PlushDaemon is het onderscheppen van netwerkverkeer, het kapen van updateprotocollen, het omleiden van verkeer naar door aanvallers gecontroleerde servers en het afleveren van het SlowStepper-implantaat.

SlowStepper is een achterdeur die probeert communicatie met een C&C-server tot stand te brengen om verdere instructies te ontvangen. Zodra communicatie is opgezet, kan SlowStepper diverse opdrachten uitvoeren, zoals:

  • Verzamelen van informatie van het gecompromitteerde systeem, zoals computernaam, lijst met actieve processen, lijst met geïnstalleerde applicaties, aangesloten camera’s of microfoons, en meer.
  • Uitvoeren van een Python-module uit zijn toolkit; de uitvoer en eventuele gecreëerde bestanden worden naar de server gestuurd.
  • Verwijderen van een opgegeven bestand.
  • Diverse opdrachten uitvoeren, zoals het maken van een volledig rapport over een opgegeven bestand of het verwijderen van een opgegeven bestand, map of alle bestanden in een map.
  • SlowStepper verwijderen door zijn persistentiemechanisme en bijbehorende bestanden te verwijderen.

Gevaren van datalekken

Wanneer je kijkt naar de mogelijkheden van SlowStepper, is het duidelijk dat supply chain-aanvallen aanzienlijke risico’s vormen voor bedrijven, zoals financiële verliezen door systeemuitval, gederfde inkomsten, herstelkosten en reputatieschade.

Deze aanvallen kunnen ook leiden tot datalekken en de gevolgen kunnen desastreus zijn. Volgens IBM’s Cost of a Data Breach Report 2024 steeg de gemiddelde kosten van een datalek van USD 4,45 miljoen in 2023 naar USD 4,88 miljoen. Supply chain-aanvallen behoren zelfs tot de top 3 factoren die de kosten van datalekken verergeren.

Daar komt nog bij dat supply chain-aanvallen niet zeldzaam zijn. Het Verizon 2024 Data Breach Investigations Report (DBIR) meldde een stijging van 68% in supply chain-aanvallen ten opzichte van het voorgaande jaar.

Dit soort aanvallen is echter slechts een fractie van de cyberdreigingen. De meest voorkomende aanvalsvectoren volgens IBM’s rapport zijn:

  • Gestolen of gecompromitteerde inloggegevens – 16%
  • Phishing – 15%
  • Cloud-misconfiguratie – 12%
  • Onbekende zero-day-kwetsbaarheid – 11%
  • Business Email Compromise – 10%
  • Kwaadwillende insiders – 7%

Threat Intelligence – kennis die geld bespaart

Gezien deze steeds geavanceerdere aanvallen en de groeiende zorgen van bedrijven over cyberbeveiliging, is het geen verrassing dat de wereldwijde markt voor dreigingsinformatie naar verwachting zal groeien van USD 5,80 miljard in 2024 tot USD 24,05 miljard in 2032.

IBM’s rapport berekende dat een oplossing voor dreigingsinformatie de gemiddelde kosten van een datalek met meer dan USD 240.000 verlaagt.

Tijdens de ESET WORLD 2024-conferentie benadrukte Tope Olufon, senior analist bij Forrester, het belang van dreigingsinformatie en stelde dat organisaties het dreigingslandschap moeten begrijpen en voorbereid moeten zijn op opkomende dreigingen.

Wel moeten organisaties slim omgaan met de beschikbare informatie – dreigingsinformatie draait niet om het simpelweg tellen van gedetecteerde monsters, maar om het plaatsen ervan in de juiste context en het identificeren van de relevante belanghebbenden, aldus de heer Olufon.

Wat is ESET Threat Intelligence?

Dankzij ESET LiveGrid-technologie fungeren meer dan 110 miljoen endpoints als sensoren die malware detecteren. Combineer deze data met de kennis van ESET-experts, en je krijgt een krachtig hulpmiddel dat gebruikers informeert over het actuele dreigingslandschap, tegenstanders, schadelijke programma’s en hun eigenschappen, de servers die deze verspreiden en zelfs de URL’s en domeinen die ze gebruiken.

Deze dienst is beschikbaar in twee vormen: Data Feeds en APT Reports.

Een threat intelligence feed is een continue stroom van gegevens over potentiële of actuele dreigingen voor de beveiliging van een organisatie, die eenvoudig in SIEM- en TIP-platforms kan worden geïntegreerd. In plaats van een grote hoeveelheid ongefilterde data ontvangt men van ESET een zorgvuldig samengestelde feed die is voorzien van topkwaliteit-categorisering en vooraf gefilterd is voor klantgebruik. Deze filtering wordt uitgevoerd door ESET-onderzoekers die de interne data nauwgezet kennen.

Deze filtering biedt meerdere voordelen voor gebruikers. ESET-feeds zijn kleiner in omvang, maar alle data zijn relevant en kennen een zeer laag percentage false-positives. Daarnaast bieden ze een grote hoeveelheid aanvullende contextuele data.

APT Reports bieden contextuele informatie over diverse tegenstanders, de nieuwste APT’s, technische analyse van dreigingen en activiteitenoverzichten van het dreigingslandschap. Bij een snel verspreidende nieuwe dreiging verstuurt ESET activiteitenalert-rapporten. Gebruikers hebben toegang tot zowel leesbare rapporten voor mensen als machine-leesbare Indicatoren van Compromis (IoC’s).

(Als je geïnteresseerd bent in ESET-onderzoeksblogs zoals PlushDaemon of openbaar beschikbare ESET APT Activity Reports en Threat Reports, onthoud dan dat dit slechts het topje van de ijsberg is van wat je kunt zien in documenten van ESET Threat Intelligence.)

Onze lokale aanwezigheid is van groot belang voor klanten. In Nederland hebben we een team van tachtig medewerkers en een eigen Security Operations Center (SOC). Ook op het gebied van threat intelligence onderhouden we nauwe lijnen met onze klanten. Tegelijkertijd zijn we al bijna 35 jaar wereldwijd actief. Die combinatie van lokale aanwezigheid en wereldwijde expertise wordt erg gewaardeerd

Michael van der VaartChief Experience Officer bij ESET Nederland

ESET heeft de Threat Intelligence-dienst geüpdatet, die nu bestaat uit 15 feeds en de ESET APTrapporten is herstructureerd in drie niveaus. Zo kunnen bedrijven kiezen wat het beste bij hen past.

Gebruikers van de geavanceerde en ultieme niveaus van APT Reports kunnen de complexiteit verder verminderen met ESET AI Advisor, een gespecialiseerde AI-chatbot die informatie biedt over APT’s.

De lijst met feeds:

    1. Malicious files feed
    2. Domain feed
    3. URL feed
    4. IP feed
    5. Botnet feed
      1. Botnet – C&C feed
      2. Botnet – Targets feed
    6. APT IoC feed
    7. Android infostealer feed
    8. Android threats feed
    9. Cryptoscam feed
    10. Malicious email attachments feed
    11. Phishing URL feed
    12. Ransomware feed
    13. Scam URL feed
    14. Smishing feed
    15. SMS scam feed

ESET Threat Intelligence en de bijbehorende data feeds geven bedrijven het vertrouwen dat ze altijd de meest actuele informatie ontvangen over specifieke gevaren.

Bovendien werkt ESET voortdurend om deze dienst zo gebruiksvriendelijk mogelijk te maken. Dankzij door AI verbeterde APT-rapporten, zorgvuldig samengestelde feeds, filtering en naadloze integratie kunnen bedrijven het actuele dreigingslandschap met vertrouwen tegemoet treden.