EdgeStepper hátsó ajtó
Egy Kínával együttműködő PlushDaemon nevű fenyegetési szereplőt összefüggésbe hoztak egy újonnan felfedezett, Go-alapú hálózati hátsó ajtóval, az EdgeStepperrel, amely egy olyan eszköz, amelyet az adversary-in-the-middle (AitM) műveletek támogatására terveztek. A hálózati forgalom DNS-szintű manipulálásával ez a csoport kibővítette képességét az adatfolyamok elfogására és átirányítására célzott behatolási kampányok céljából több régióban.
Tartalomjegyzék
EdgeStepper: Forgalom átirányítása rosszindulatú infrastruktúrára
Az EdgeStepper hálózati szintű eltérítési mechanizmusként működik. Telepítés után minden DNS-kérést egy külső, rosszindulatú csomópontra irányít át. Ez a manipuláció a legitim szoftverfrissítési infrastruktúrának szánt forgalmat a támadó ellenőrzése alatt álló rendszerekhez irányítja.
Belsőleg az eszköz két fő modulon keresztül működik. A Forgalmazó feloldja a rosszindulatú DNS-csomópont címét (pl. test.dsc.wcsset.com), míg a Vonalzó csomagszűrő szabályokat konfigurál iptables segítségével az átirányítás kikényszerítéséhez. Bizonyos esetekben a DNS-csomópont és az eltérítő csomópont egy és ugyanaz, aminek következtében a DNS-szolgáltatás a saját IP-címét adja vissza a hamisítási folyamat során.
Hosszú távú műveletek és globális célzás
A legalább 2018 óta aktív PlushDaemon az Egyesült Államokban, Új-Zélandon, Kambodzsában, Hongkongban, Tajvanon, Dél-Koreában és Kína szárazföldi részén működő szervezetekre összpontosít. Tevékenységéről először 2025 januárjában számoltak be hivatalosan egy, a dél-koreai IPany VPN-szolgáltatót érintő ellátási lánc feltörésével kapcsolatos nyomozás során. Az incidens során kiderült, hogy a támadók hogyan vetették be a SlowStepper multifunkcionális implantátumot egy félvezetőgyártó cég és egy azonosítatlan szoftverfejlesztő cég ellen.
A későbbi kutatások során további azonosított áldozatok között szerepel egy pekingi egyetem, egy tajvani elektronikai gyártó, egy autóipari vállalat és egy japán gyártóvállalat regionális fióktelepe. Az elemzők további aktivitást észleltek Kambodzsában 2025-ben, ahol további két szervezetet, egyet az autóipari szektorban, egy másikat pedig egy japán gyártóhoz kötve, vettek célba a SlowStepperrel.
AitM mérgezés: PlushDaemon elsődleges belépési stratégiája
A csoport nagymértékben az AitM mérgezésére támaszkodik kezdeti behatolási technikájaként, ez a tendencia egyre inkább elterjedt más, Kínához köthető APT klaszterek, mint például a LuoYu, az Evasive Panda, a BlackTech, a TheWizards APT, a Blackwood és a FontGoblin között is. A PlushDaemon a támadási láncát egy olyan peremhálózati eszköz feltörésével indítja, amelyen keresztül az áldozat valószínűleg csatlakozni fog. A behatolás jellemzően javítatlan sebezhetőségekből vagy gyenge hitelesítésből ered.
Miután az eszköz irányítása alá került, az EdgeStepper települ a DNS-forgalom manipulálására. A rosszindulatú DNS-csomópont kiértékeli a bejövő kéréseket, és amikor szoftverfrissítésekhez kapcsolódó domaineket észlel, a támadó csomópont IP-címével válaszol. Ez a beállítás lehetővé teszi a hasznos adatok rosszindulatú kézbesítését anélkül, hogy azonnal gyanút keltene.
Eltérített frissítési csatornák és a telepítési lánc
A PlushDaemon kampánya kifejezetten a számos kínai alkalmazás, köztük a Sogou Pinyin által használt frissítési mechanizmusokat vizsgálja a jogos frissítési forgalom átirányítására. Ezzel a manipulációval a támadók egy LittleDaemon (popup_4.2.0.2246.dll) nevű rosszindulatú DLL-t terjesztenek, amely első fokozatú beültetésként szolgál. Ha a rendszer még nem tartalmazza a SlowStepper hátsó ajtót, a LittleDaemon felveszi a kapcsolatot a támadó csomóponttal, és letölti a DaemonicLogistics nevű letöltőt.
A DaemonicLogistics szerepe egyszerű: töltse le és futtassa a SlowSteppert. Aktiválás után a SlowStepper számos funkciót kínál, beleértve a rendszeradatok gyűjtését, fájlok beszerzését, böngésző hitelesítő adatainak kinyerését, adatok lekérését több üzenetküldő alkalmazásból, és szükség esetén saját maga eltávolítását.
Kibővített képességek összehangolt implantátumokon keresztül
Az EdgeStepper, a LittleDaemon, a DaemonicLogistics és a SlowStepper együttes funkcionalitása átfogó eszközkészlettel ruházza fel a PlushDaemont, amely képes világszerte szervezeteket feltörni. Összehangolt használatuk állandó hozzáférést, adatlopási képességeket és rugalmas infrastruktúrát biztosít a csoport számára a hosszú távú, régiókon átnyúló műveletekhez.
Főbb megfigyelések
A PlushDaemon műveletei számos következetes vonást mutatnak. A csoport nagymértékben támaszkodik a közbeékelődéses támadók mérgezésére, mint előnyben részesített módszerre a kezdeti megszerzéshez, amelyet a hálózat szélén lévő forgalom elfogására és átirányítására használ. Miután egy célpontot feltörnek, a fenyegető szereplő a SlowStepperre támaszkodik fő behatolás utáni implantátumként, kihasználva annak kiterjedt adatgyűjtő és rendszerfelderítő funkcióit. Ennek a munkafolyamatnak a hatékonyságát megerősíti az EdgeStepper DNS-válaszok manipulálására való képessége, amely lehetővé teszi a támadók számára, hogy csendben a legitim szoftverfrissítési forgalmat a saját infrastruktúrájuk felé tereljék.
