EdgeStepperi tagauks
Hiinaga liitunud ohutegija PlushDaemon on seostatud äsja avastatud Go-põhise võrgu tagauksega nimega EdgeStepper. See on tööriist, mis on loodud toetama vastase keskel (AitM) operatsioone. DNS-tasemel võrguliiklust manipuleerides on see rühmitus laiendanud oma võimet pealt kuulata ja suunata ümber andmevooge sihitud sissetungikampaaniate jaoks mitmes piirkonnas.
Sisukord
EdgeStepper: liikluse ümbersuunamine pahatahtlikule infrastruktuurile
EdgeStepper toimib võrgutasemel kaaperdamismehhanismina. Pärast juurutamist suunab see iga DNS-päringu ümber välisele pahatahtlikule sõlmele. See manipuleerimine suunab seaduslikule tarkvarauuenduste infrastruktuurile mõeldud liikluse ümber ja edastab selle hoopis ründaja kontrolli all olevatele süsteemidele.
Sisemiselt töötab tööriist kahe peamise mooduli kaudu. Levitaja tuvastab pahatahtliku DNS-sõlme aadressi (nt test.dsc.wcsset.com), samas kui valitseja konfigureerib iptable'i kaudu pakettide filtreerimise reegleid ümbersuunamise jõustamiseks. Mõnel juhul on DNS-sõlm ja kaaperdav sõlm üks ja sama, mistõttu DNS-teenus tagastab võltsimisprotsessi ajal oma IP-aadressi.
Pikaajalised operatsioonid ja globaalne sihtimine
PlushDaemon, mis on tegutsenud vähemalt alates 2018. aastast, on keskendunud organisatsioonidele USA-s, Uus-Meremaal, Kambodžas, Hongkongis, Taiwanis, Lõuna-Koreas ja Mandri-Hiinas. Selle tegevusest teatati ametlikult esmakordselt jaanuaris 2025 Lõuna-Korea VPN-pakkuja IPany tarneahela ohustamise uurimise käigus. See intsident paljastas, kuidas ründajad kasutasid multifunktsionaalset implantaati SlowStepper nii pooljuhtide ettevõtte kui ka tundmatu tarkvaraarendusettevõtte vastu.
Hilisemates uuringutes tuvastatud ohvrite hulgas on Pekingi ülikool, Taiwani elektroonikatootja, autofirma ja Jaapani tootmisettevõtte piirkondlik haru. Analüütikud registreerisid 2025. aastal edasist tegevust ka Kambodžas, kus SlowStepperi sihtmärgiks võeti veel kaks organisatsiooni, üks autosektoris ja teine Jaapani tootjaga seotud organisatsioon.
AitM-i mürgitamine: PlushDaemoni peamine sisenemisstrateegia
Grupp tugineb oma esialgse sissetungitehnikana suuresti AitM-i mürgitamisele, mis on trend, mida üha enam jagavad ka teised Hiinaga seotud APT-klastrid, nagu LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood ja FontGoblin. PlushDaemon alustab oma rünnakuahelat, kahjustades servavõrgu seadet, mille kaudu ohver tõenäoliselt ühendub. Ohverdamine tuleneb tavaliselt parandamata haavatavustest või nõrgast autentimisest.
Kui seade on kontrolli alla saadud, installitakse DNS-liikluse manipuleerimiseks EdgeStepper. Pahatahtlik DNS-sõlm hindab sissetulevaid päringuid ja tarkvarauuendustega seotud domeenide tuvastamisel vastab kaaperdava sõlme IP-aadressiga. See seadistus võimaldab pahatahtlikku sisu edastada ilma kohe kahtlust tekitamata.
Kaaperdatud värskenduskanalid ja juurutamisahel
PlushDaemoni kampaania kontrollib spetsiaalselt mitmete Hiina rakenduste, sealhulgas Sogou Pinyini, poolt kasutatavaid uuendusmehhanisme, et suunata ümber seaduslikku uuendusliiklust. Selle manipuleerimise abil levitavad ründajad pahatahtlikku DLL-i nimega LittleDaemon (popup_4.2.0.2246.dll), mis toimib esimese etapi implantaadina. Kui süsteemis SlowStepperi tagaust veel pole, võtab LittleDaemon ühendust ründaja sõlmega ja hangib alla allalaadija nimega DaemonicLogistics.
DaemonicLogisticsi roll on lihtne: laadige alla ja käivitage SlowStepper. Kui see on aktiivne, pakub SlowStepper laia valikut võimalusi, mis hõlmavad süsteemiandmete kogumist, failide hankimist, brauseri mandaatide ekstraheerimist, andmete tõmbamist mitmest sõnumsiderakendusest ja vajadusel enda eemaldamist.
Laiendatud võimed koordineeritud implantaatide abil
EdgeStepperi, LittleDaemoni, DaemonicLogisticsi ja SlowStepperi kombineeritud funktsionaalsus annab PlushDaemonile tervikliku tööriistakomplekti, mis on võimeline ohustama organisatsioone kogu maailmas. Nende koordineeritud kasutamine annab grupile püsiva juurdepääsu, andmevarguse võimekuse ja paindliku infrastruktuuri pikaajalisteks piirkondadevahelisteks operatsioonideks.
Peamised tähelepanekud
PlushDaemoni tegevuses on näha mitu järjepidevat joont. Grupp tugineb suuresti keskel asuva vastase mürgitamisele kui eelistatud meetodile esialgse jalgealuse saavutamiseks, kasutades seda liikluse pealtkuulamiseks ja ümbersuunamiseks võrgu servas. Kui sihtmärk on ohustatud, tugineb ohutegija SlowStepperile kui oma peamisele sissetungijärgsele implantaadile, kasutades ära selle ulatuslikke andmete kogumise ja süsteemi luure funktsioone. Selle töövoo tõhusust tugevdab EdgeStepperi võime manipuleerida DNS-vastustega, mis võimaldab ründajatel vaikselt suunata seaduslikku tarkvarauuenduste liiklust oma infrastruktuuri poole.
