דלת אחורית של EdgeStepper
גורם איום המזוהה עם סין, המכונה PlushDaemon, נקשר לדלת אחורית של רשת מבוססת Go שנחשפה לאחרונה בשם EdgeStepper, כלי שתוכנן לתמוך בפעולות של "אויב באמצע" (AitM). על ידי מניפולציה של תעבורת רשת ברמת ה-DNS, קבוצה זו הרחיבה את יכולתה ליירט ולנתב מחדש זרימות נתונים עבור קמפיינים של חדירות ממוקדות על פני אזורים מרובים.
תוכן העניינים
EdgeStepper: ניתוב מחדש של תנועה לתשתית זדונית
EdgeStepper פועל כמנגנון חטיפה ברמת הרשת. לאחר פריסתו, הוא מנתב מחדש כל בקשת DNS לצומת חיצוני זדוני. מניפולציה זו מפנה תעבורה המיועדת לתשתית עדכוני תוכנה לגיטימית ובמקום זאת מעבירה אותה למערכות הנמצאות תחת שליטת התוקף.
באופן פנימי, הכלי פועל באמצעות שני מודולים עיקריים. ה-Distributor מזהה את כתובת צומת ה-DNS הזדוני (למשל, test.dsc.wcsset.com), בעוד שה-Ruler מגדיר כללי סינון חבילות דרך iptables כדי לאכוף את ההפניה מחדש. במקרים מסוימים, צומת ה-DNS וצומת החטיפה הם אותו דבר, מה שגורם לשירות ה-DNS להחזיר את כתובת ה-IP שלו במהלך תהליך הזיוף.
פעילות ארוכת טווח ומיקוד גלובלי
PlushDaemon, פעילה לפחות משנת 2018, מתמקדת בארגונים ברחבי ארה"ב, ניו זילנד, קמבודיה, הונג קונג, טייוואן, דרום קוריאה וסין היבשתית. פעילותה דווחה לראשונה רשמית בינואר 2025 במהלך חקירה על פגיעה בשרשרת האספקה בה מעורבת ספקית ה-VPN הדרום קוריאנית IPany. תקרית זו חשפה כיצד התוקפים פרסו את השתל הרב-תכליתי SlowStepper כנגד חברת מוליכים למחצה וחברת פיתוח תוכנה לא מזוהה.
קורבנות נוספים שזוהו במחקר מאוחר יותר כוללים אוניברסיטה בבייג'ינג, יצרנית אלקטרוניקה בטייוואן, חברת רכב וסניף אזורי של מפעל ייצור יפני. אנליסטים רשמו גם פעילות נוספת בקמבודיה בשנת 2025, שם שני ארגונים נוספים, אחד בתחום הרכב ואחר הקשור ליצרן יפני, היו מטרה לתקיפה באמצעות SlowStepper.
הרעלת AitM: אסטרטגיית הכניסה העיקרית של PlushDaemon
הקבוצה מסתמכת במידה רבה על הרעלת AitM כטכניקת הפריצה הראשונית שלה, מגמה המשותפת יותר ויותר בקרב אשכולות APT אחרים המסונפים לסין כמו LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood ו-FontGoblin. PlushDaemon יוזם את שרשרת התקיפה שלו על ידי פגיעה במכשיר רשת קצה שדרכו הקורבן עשוי להתחבר. הפגיעה נובעת בדרך כלל מפגיעויות שלא תוקנו או מאימות חלש.
לאחר שהמכשיר נמצא תחת שליטה, EdgeStepper מותקן כדי לתפעל את תעבורת ה-DNS. צומת ה-DNS הזדוני מעריך בקשות נכנסות, וכאשר מזהה דומיינים הקשורים לעדכוני תוכנה, מגיב עם כתובת ה-IP של צומת החטיפה. הגדרה זו מאפשרת אספקה זדונית של מטענים מבלי לעורר חשד מיידי.
ערוצי עדכון חטופים ושרשרת הפריסה
הקמפיין של PlushDaemon בודק באופן ספציפי מנגנוני עדכון המשמשים מספר יישומים סיניים, כולל סוגו פיניין, כדי להפנות מחדש תעבורת עדכונים לגיטימית. באמצעות מניפולציה זו, התוקפים מפיצים קובץ DLL זדוני בשם LittleDaemon (popup_4.2.0.2246.dll), המשמש כשתל בשלב הראשון. אם המערכת עדיין לא מארחת את הדלת האחורית של SlowStepper, LittleDaemon יוצר קשר עם צומת התוקף ומאחזר תוכנת הורדה בשם DaemonicLogistics.
תפקידה של DaemonicLogistics פשוט: להוריד ולהפעיל את SlowStepper. לאחר הפעלתו, SlowStepper מספק מגוון רחב של יכולות הכוללות איסוף פרטי מערכת, רכישת קבצים, חילוץ אישורי דפדפן, שליפת נתונים ממספר יישומי העברת הודעות והסרה עצמית במידת הצורך.
יכולות מורחבות באמצעות שתלים מתואמים
הפונקציונליות המשולבת של EdgeStepper, LittleDaemon, DaemonicLogistics ו-SlowStepper מציידת את PlushDaemon בערכת כלים מקיפה המסוגלת לפגוע בארגונים ברחבי העולם. השימוש המתואם בהם מעניק לקבוצה גישה מתמשכת, יכולות גניבת נתונים ותשתית גמישה לפעולות חוצות אזורים לטווח ארוך.
תצפיות מרכזיות
פעילותה של PlushDaemon חושפת מספר נושאים עקביים. הקבוצה מסתמכת במידה רבה על הרעלת "אויב באמצע" כשיטה המועדפת עליה להשגת דריסת רגל ראשונית, ומשתמשת בה כדי ליירט ולהפנות תעבורה בקצה הרשת. לאחר שמטרה נפגעה, גורם האיום תלוי ב-SlowStepper כשתל העיקרי שלו לאחר חדירה, תוך ניצול תכונות איסוף הנתונים וסיור המערכת הנרחבות שלו. יעילותה של זרימת עבודה זו מתחזקת על ידי יכולתו של EdgeStepper לתמרן תגובות DNS, המאפשרות לתוקפים להסיט בשקט תעבורת עדכוני תוכנה לגיטימית לעבר התשתית שלהם.
