EdgeStepper Backdoor
Ένας απειλητικός παράγοντας που συνδέεται με την Κίνα, γνωστός ως PlushDaemon, έχει συνδεθεί με ένα πρόσφατα αποκαλυφθέν backdoor δικτύου που βασίζεται σε Go και ονομάζεται EdgeStepper, ένα εργαλείο που έχει σχεδιαστεί για να υποστηρίζει λειτουργίες αντιπάλων στη μέση (AitM). Χειραγωγώντας την κυκλοφορία δικτύου σε επίπεδο DNS, αυτή η ομάδα έχει επεκτείνει την ικανότητά της να αναχαιτίζει και να ανακατευθύνει ροές δεδομένων για στοχευμένες εκστρατείες εισβολής σε πολλαπλές περιοχές.
Πίνακας περιεχομένων
EdgeStepper: Ανακατεύθυνση επισκεψιμότητας σε κακόβουλη υποδομή
Το EdgeStepper λειτουργεί ως μηχανισμός hijacking σε επίπεδο δικτύου. Μόλις αναπτυχθεί, αναδρομολογεί κάθε αίτημα DNS σε έναν εξωτερικό κακόβουλο κόμβο. Αυτός ο χειρισμός εκτρέπει την κίνηση που προορίζεται για νόμιμη υποδομή ενημέρωσης λογισμικού και αντ' αυτού την προωθεί σε συστήματα που βρίσκονται υπό τον έλεγχο του εισβολέα.
Εσωτερικά, το εργαλείο λειτουργεί μέσω δύο κύριων λειτουργικών μονάδων. Ο Διανομέας επιλύει τη διεύθυνση του κακόβουλου κόμβου DNS (π.χ., test.dsc.wcsset.com), ενώ ο Χάρακας διαμορφώνει κανόνες φιλτραρίσματος πακέτων μέσω iptables για να επιβάλει την ανακατεύθυνση. Σε ορισμένες περιπτώσεις, ο κόμβος DNS και ο κόμβος hijacking είναι ένα και το αυτό, με αποτέλεσμα η υπηρεσία DNS να επιστρέφει τη δική της διεύθυνση IP κατά τη διάρκεια της διαδικασίας πλαστογράφησης.
Μακροπρόθεσμες Λειτουργίες και Παγκόσμια Στόχευση
Η PlushDaemon, η οποία δραστηριοποιείται τουλάχιστον από το 2018, έχει επικεντρωθεί σε οργανισμούς στις ΗΠΑ, τη Νέα Ζηλανδία, την Καμπότζη, το Χονγκ Κονγκ, την Ταϊβάν, τη Νότια Κορέα και την ηπειρωτική Κίνα. Οι δραστηριότητές της αναφέρθηκαν επίσημα για πρώτη φορά τον Ιανουάριο του 2025 κατά τη διάρκεια έρευνας για παραβίαση της εφοδιαστικής αλυσίδας που αφορούσε τον πάροχο VPN της Νότιας Κορέας IPany. Αυτό το περιστατικό αποκάλυψε πώς οι εισβολείς χρησιμοποίησαν το πολυλειτουργικό εμφύτευμα SlowStepper τόσο εναντίον μιας εταιρείας ημιαγωγών όσο και μιας άγνωστης εταιρείας ανάπτυξης λογισμικού.
Επιπλέον, σε μεταγενέστερη έρευνα εντοπίστηκαν ένα πανεπιστήμιο στο Πεκίνο, ένας κατασκευαστής ηλεκτρονικών ειδών στην Ταϊβάν, μια αυτοκινητοβιομηχανία και ένα περιφερειακό υποκατάστημα μιας ιαπωνικής κατασκευαστικής επιχείρησης. Οι αναλυτές κατέγραψαν επίσης περαιτέρω δραστηριότητα στην Καμπότζη το 2025, όπου δύο ακόμη οργανισμοί, ένας στον αυτοκινητοβιομηχανικό τομέα και ένας άλλος συνδεδεμένος με έναν Ιάπωνα κατασκευαστή, έγιναν στόχος του SlowStepper.
Δηλητηρίαση AitM: Η κύρια στρατηγική εισόδου του PlushDaemon
Η ομάδα βασίζεται σε μεγάλο βαθμό στην δηλητηρίαση με AitM ως αρχική τεχνική εισβολής, μια τάση που διαδίδεται ολοένα και περισσότερο μεταξύ άλλων clusters APT που συνδέονται με την Κίνα, όπως οι LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood και FontGoblin. Το PlushDaemon ξεκινά την αλυσίδα επιθέσεών του θέτοντας σε κίνδυνο μια συσκευή δικτύου edge μέσω της οποίας είναι πιθανό να συνδεθεί το θύμα. Η παραβίαση συνήθως προέρχεται από μη ενημερωμένες ευπάθειες ή αδύναμο έλεγχο ταυτότητας.
Μόλις η συσκευή τεθεί υπό έλεγχο, εγκαθίσταται το EdgeStepper για να χειραγωγεί την κίνηση DNS. Ο κακόβουλος κόμβος DNS αξιολογεί τα εισερχόμενα αιτήματα και, όταν εντοπίζει τομείς που συνδέονται με ενημερώσεις λογισμικού, απαντά με τη διεύθυνση IP του κόμβου που κάνει hijacking. Αυτή η ρύθμιση επιτρέπει την κακόβουλη παράδοση ωφέλιμων φορτίων χωρίς να εγείρει αμέσως υποψίες.
Παραβιασμένα κανάλια ενημέρωσης και η αλυσίδα ανάπτυξης
Η καμπάνια του PlushDaemon ελέγχει συγκεκριμένα τους μηχανισμούς ενημέρωσης που χρησιμοποιούνται από διάφορες κινεζικές εφαρμογές, συμπεριλαμβανομένου του Sogou Pinyin, για την ανακατεύθυνση της νόμιμης κίνησης ενημερώσεων. Μέσω αυτής της χειραγώγησης, οι εισβολείς διανέμουν ένα κακόβουλο DLL με το όνομα LittleDaemon (popup_4.2.0.2246.dll), το οποίο χρησιμεύει ως εμφύτευση πρώτου σταδίου. Εάν το σύστημα δεν φιλοξενεί ήδη την κερκόπορτα SlowStepper, το LittleDaemon επικοινωνεί με τον κόμβο του εισβολέα και ανακτά ένα πρόγραμμα λήψης που ονομάζεται DaemonicLogistics.
Ο ρόλος του DaemonicLogistics είναι απλός: λήψη και εκτέλεση του SlowStepper. Μόλις ενεργοποιηθεί, το SlowStepper παρέχει ένα ευρύ φάσμα δυνατοτήτων που περιλαμβάνουν τη συλλογή λεπτομερειών συστήματος, την απόκτηση αρχείων, την εξαγωγή διαπιστευτηρίων προγράμματος περιήγησης, την εξαγωγή δεδομένων από πολλαπλές εφαρμογές ανταλλαγής μηνυμάτων και την αυτοκατάργησή του, εάν είναι απαραίτητο.
Διευρυμένες Δυνατότητες Μέσω Συντονισμένων Εμφυτευμάτων
Η συνδυασμένη λειτουργικότητα των EdgeStepper, LittleDaemon, DaemonicLogistics και SlowStepper εξοπλίζει την PlushDaemon με ένα ολοκληρωμένο σύνολο εργαλείων ικανό να θέσει σε κίνδυνο οργανισμούς παγκοσμίως. Η συντονισμένη χρήση τους παρέχει στην ομάδα συνεχή πρόσβαση, δυνατότητες κλοπής δεδομένων και μια ευέλικτη υποδομή για μακροπρόθεσμες διαπεριφερειακές επιχειρήσεις.
Βασικές παρατηρήσεις
Οι λειτουργίες του PlushDaemon αποκαλύπτουν αρκετά συνεπή θέματα. Η ομάδα βασίζεται σε μεγάλο βαθμό στην δηλητηρίαση από εχθρούς στη μέση ως την προτιμώμενη μέθοδο για την απόκτηση αρχικής θέσης, χρησιμοποιώντας την για την αναχαίτιση και την ανακατεύθυνση της κίνησης στην άκρη του δικτύου. Μόλις ένας στόχος παραβιαστεί, ο απειλητικός παράγοντας βασίζεται στο SlowStepper ως το κύριο εμφύτευμά του μετά την εισβολή, εκμεταλλευόμενος τις εκτεταμένες λειτουργίες συλλογής δεδομένων και αναγνώρισης συστήματος. Η αποτελεσματικότητα αυτής της ροής εργασίας ενισχύεται από την ικανότητα του EdgeStepper να χειρίζεται τις απαντήσεις DNS, οι οποίες επιτρέπουν στους εισβολείς να εκτρέπουν αθόρυβα την νόμιμη κίνηση ενημερώσεων λογισμικού προς τη δική τους υποδομή.
