EdgeStepper-takaovi
Kiinalainen uhkatoimija nimeltä PlushDaemon on yhdistetty äskettäin paljastuneeseen Go-pohjaiseen verkkotakaporttiin nimeltä EdgeStepper, joka on suunniteltu tukemaan välikäden (AitM) operaatioita. Manipuloimalla verkkoliikennettä DNS-tasolla tämä ryhmä on laajentanut kykyään siepata ja ohjata tietovirtoja kohdennettuja tunkeutumiskampanjoita varten useilla alueilla.
Sisällysluettelo
EdgeStepper: Liikenteen uudelleenohjaus haitalliseen infrastruktuuriin
EdgeStepper toimii verkkotason kaappausmekanismina. Käyttöönoton jälkeen se reitittää jokaisen DNS-pyynnön ulkoiselle haitalliselle solmulle. Tämä manipulointi ohjaa lailliselle ohjelmistopäivitysinfrastruktuurille tarkoitetun liikenteen ja välittää sen sen sijaan hyökkääjän hallinnassa oleviin järjestelmiin.
Työkalu toimii sisäisesti kahden päämoduulin kautta. Jakelija selvittää haitallisen DNS-solmun osoitteen (esim. test.dsc.wcsset.com), kun taas hallitsija määrittää pakettien suodatussäännöt iptablesin kautta uudelleenohjauksen valvomiseksi. Joissakin tapauksissa DNS-solmu ja kaappaussolmu ovat yksi ja sama, jolloin DNS-palvelu palauttaa oman IP-osoitteensa huijausprosessin aikana.
Pitkäkestoiset operaatiot ja globaali kohdentaminen
PlushDaemon on toiminut ainakin vuodesta 2018 lähtien, ja se on keskittynyt organisaatioihin Yhdysvalloissa, Uudessa-Seelannissa, Kambodžassa, Hongkongissa, Taiwanissa, Etelä-Koreassa ja Manner-Kiinassa. Sen toiminnasta raportoitiin ensimmäisen kerran virallisesti tammikuussa 2025 eteläkorealaisen VPN-palveluntarjoajan IPanyn toimitusketjun murtautumista koskevan tutkinnan aikana. Tapaus paljasti, kuinka hyökkääjät käyttivät SlowStepper-monitoimi-implanttia sekä puolijohdeyritystä että tunnistamatonta ohjelmistokehitysyritystä vastaan.
Myöhemmissä tutkimuksissa tunnistettujen uhrien joukossa ovat pekingiläinen yliopisto, taiwanilainen elektroniikkavalmistaja, autoyritys ja japanilaisen valmistusyrityksen alueellinen sivuliike. Analyytikot havaitsivat myös lisää toimintaa Kambodžassa vuonna 2025, jossa SlowStepper-iskun kohteena oli kaksi muuta organisaatiota, yksi autoalalla ja toinen japanilaiseen valmistajaan sidoksissa oleva organisaatio.
AitM-myrkytys: PlushDaemonin ensisijainen sisäänpääsystrategia
Ryhmä luottaa vahvasti AitM-myrkytyksiin alkuperäisenä tunkeutumistekniikkanaan, ja tämä trendi on yhä yleisempi muiden Kiinaan kytköksissä olevien APT-rypäiden, kuten LuoYun, Evasive Pandan, BlackTechin, TheWizards APT:n, Blackwoodin ja FontGoblinin, keskuudessa. PlushDaemon aloittaa hyökkäysketjunsa vaarantamalla reunaverkon laitteen, jonka kautta uhri todennäköisesti muodostaa yhteyden. Tietomurto johtuu tyypillisesti korjaamattomista haavoittuvuuksista tai heikosta todennuksesta.
Kun laite on hallinnassa, asennetaan EdgeStepper DNS-liikenteen manipuloimiseksi. Haitallinen DNS-solmu arvioi saapuvat pyynnöt ja vastaa kaappaavan solmun IP-osoitteella havaitseessaan ohjelmistopäivityksiin liittyviä verkkotunnuksia. Tämä kokoonpano mahdollistaa hyötykuormien haitallisen toimittamisen herättämättä välittömästi epäilyksiä.
Kaapatut päivityskanavat ja käyttöönottoketju
PlushDaemonin kampanja tarkastaa erityisesti useiden kiinalaisten sovellusten, mukaan lukien Sogou Pinyinin, käyttämiä päivitysmekanismeja laillisen päivitysliikenteen uudelleenohjaamiseksi. Tämän manipuloinnin avulla hyökkääjät levittävät haitallista LittleDaemon-nimistä DLL-tiedostoa (popup_4.2.0.2246.dll), joka toimii ensimmäisen vaiheen implanttina. Jos järjestelmässä ei jo ole SlowStepper-takaovea, LittleDaemon ottaa yhteyttä hyökkääjäsolmuun ja hakee DaemonicLogistics-nimisen latausohjelman.
DaemonicLogisticsin rooli on yksinkertainen: lataa ja suorita SlowStepper. Kun se on aktiivinen, SlowStepper tarjoaa laajan valikoiman ominaisuuksia, kuten järjestelmätietojen keräämisen, tiedostojen hankkimisen, selaimen tunnistetietojen poimimisen, tietojen hakemisen useista viestisovelluksista ja itsensä poistamisen tarvittaessa.
Laajennetut ominaisuudet koordinoitujen implanttien avulla
EdgeStepperin, LittleDaemonin, DaemonicLogisticsin ja SlowStepperin yhdistetty toiminnallisuus antaa PlushDaemonille kattavan työkalupakin, joka pystyy vaarantamaan organisaatioita maailmanlaajuisesti. Niiden koordinoitu käyttö antaa ryhmälle pysyvän pääsyn, tietovarkauskyvyn ja joustavan infrastruktuurin pitkäaikaiseen alueiden väliseen toimintaan.
Keskeiset havainnot
PlushDaemonin toiminnassa näkyy useita johdonmukaisia teemoja. Ryhmä luottaa vahvasti välikäden myrkyttämiseen ensisijaisena menetelmänään jalansijan saavuttamiseksi ja käyttää sitä liikenteen sieppaamiseen ja uudelleenohjaamiseen verkon reunalla. Kun kohde on vaarantunut, uhkatoimija on riippuvainen SlowStepperistä tärkeimpänä tunkeutumisen jälkeisenä implanttinaan hyödyntäen sen laajoja tiedonkeruu- ja järjestelmän tiedusteluominaisuuksia. Tämän työnkulun tehokkuutta vahvistaa EdgeStepperin kyky manipuloida DNS-vastauksia, minkä ansiosta hyökkääjät voivat hiljaa ohjata laillista ohjelmistopäivitysliikennettä omaan infrastruktuuriinsa.
