„EdgeStepper“ galinės durys
Su Kinija susijęs grėsmių subjektas, žinomas kaip „PlushDaemon“, buvo susietas su naujai atrasta „Go“ pagrindu sukurta tinklo galinių durų sistema, pavadinta „EdgeStepper“ – įrankiu, sukurtu palaikyti „priešininko viduryje“ (AitM) operacijas. Manipuliuodama tinklo srautą DNS lygmeniu, ši grupuotė išplėtė savo galimybes perimti ir nukreipti duomenų srautus tikslinėms įsilaužimo kampanijoms keliuose regionuose.
Turinys
„EdgeStepper“: srauto nukreipimas į kenkėjišką infrastruktūrą
„EdgeStepper“ veikia kaip tinklo lygio užgrobimo mechanizmas. Įdiegus, jis nukreipia kiekvieną DNS užklausą į išorinį kenkėjišką mazgą. Šis manipuliavimas nukreipia srautą, skirtą teisėtai programinės įrangos atnaujinimo infrastruktūrai, ir persiunčia jį užpuoliko kontroliuojamoms sistemoms.
Viduje įrankis veikia per du pagrindinius modulius. Platintojas nustato kenkėjiško DNS mazgo adresą (pvz., test.dsc.wcsset.com), o valdovas konfigūruoja paketų filtravimo taisykles per iptables, kad būtų užtikrintas peradresavimas. Kai kuriais atvejais DNS mazgas ir užgrobimo mazgas yra tas pats, todėl DNS paslauga klastojimo proceso metu grąžina savo IP adresą.
Ilgalaikės operacijos ir pasaulinis taikymas
„PlushDaemon“, veikianti mažiausiai nuo 2018 m., daugiausia dėmesio skyrė organizacijoms JAV, Naujojoje Zelandijoje, Kambodžoje, Honkonge, Taivane, Pietų Korėjoje ir žemyninėje Kinijoje. Apie jos veiklą pirmą kartą oficialiai pranešta 2025 m. sausio mėn., vykdant tyrimą dėl tiekimo grandinės pažeidimo, susijusio su Pietų Korėjos VPN teikėju „IPany“. Šis incidentas atskleidė, kaip užpuolikai panaudojo daugiafunkcį implantą „SlowStepper“ prieš puslaidininkių įmonę ir nenustatytą programinės įrangos kūrimo įmonę.
Vėlesniuose tyrimuose nustatytos ir kitos aukos: Pekino universitetas, elektronikos gamintoja Taivane, automobilių įmonė ir Japonijos gamybos įmonės regioninis filialas. Analitikai taip pat užfiksavo tolesnę veiklą Kambodžoje 2025 m., kur „SlowStepper“ taikiniais tapo dar dvi organizacijos – viena automobilių sektoriaus įmonė, kita – susijusi su Japonijos gamintoju.
AitM apsinuodijimas: pagrindinė PlushDaemon įėjimo strategija
Grupė kaip pradinę įsilaužimo techniką daugiausia naudoja „AitM“ virusų užkrėtimą – ši tendencija vis labiau paplitusi tarp kitų su Kinija susijusių APT klasterių, tokių kaip „LuoYu“, „Evasive Panda“, „BlackTech“, „TheWizards APT“, „Blackwood“ ir „FontGoblin“. „PlushDaemon“ pradeda savo atakų grandinę, pažeisdama periferinio tinklo įrenginį, per kurį auka greičiausiai prisijungs. Kompromitacija paprastai kyla dėl nepašalintų pažeidžiamumų arba silpnos autentifikacijos.
Kai įrenginys perimamas į kontrolę, įdiegiama „EdgeStepper“, skirta manipuliuoti DNS srautu. Kenkėjiškas DNS mazgas įvertina gaunamas užklausas ir, aptikęs su programinės įrangos atnaujinimais susietus domenus, atsako pateikdamas užgrobimo mazgo IP adresą. Ši sąranka leidžia kenkėjiškai siųsti naudingąją apkrovą iš karto nesukeliant įtarimų.
Užgrobti atnaujinimų kanalai ir diegimo grandinė
„PlushDaemon“ kampanija specialiai tikrina atnaujinimo mechanizmus, kuriuos naudoja kelios Kinijos programos, įskaitant „Sogou Pinyin“, kad nukreiptų teisėtą atnaujinimo srautą. Šios manipuliacijos metu užpuolikai platina kenkėjišką DLL failą pavadinimu „LittleDaemon“ (popup_4.2.0.2246.dll), kuris veikia kaip pirmojo etapo implantas. Jei sistemoje dar nėra „SlowStepper“ galinių durų, „LittleDaemon“ susisiekia su užpuoliko mazgu ir atkuria atsisiuntimo programą pavadinimu „DaemonicLogistics“.
„DaemonicLogistics“ vaidmuo paprastas: atsisiųsti ir paleisti „SlowStepper“. Kai „SlowStepper“ suaktyvinamas, jis suteikia platų funkcijų spektrą, įskaitant sistemos duomenų rinkimą, failų gavimą, naršyklės kredencialų išgavimą, duomenų ištraukimą iš kelių pranešimų programų ir, jei reikia, savęs pašalinimą.
Išplėstos galimybės naudojant suderintus implantus
Sujungus „EdgeStepper“, „LittleDaemon“, „DaemonicLogistics“ ir „SlowStepper“ funkcionalumą, „PlushDaemon“ turi išsamų įrankių rinkinį, galintį atakuoti organizacijas visame pasaulyje. Koordinuotas jų naudojimas suteikia grupei nuolatinę prieigą, duomenų vagysčių galimybes ir lanksčią infrastruktūrą ilgalaikėms operacijoms tarp regionų.
Svarbiausios pastabos
„PlushDaemon“ operacijos atskleidžia keletą nuoseklių temų. Grupė labai remiasi „adversary-in-the-middle“ užkrėtimu kaip pageidaujamu metodu pradinei pozicijai įsitvirtinti, naudodama jį srautui tinklo pakraštyje perimti ir nukreipti. Kai taikinys pažeidžiamas, grėsmės veikėjas pasikliauja „SlowStepper“ kaip pagrindiniu įsilaužimo įveikimo įrankiu, pasinaudodamas jo plačiomis duomenų rinkimo ir sistemos žvalgybos funkcijomis. Šio darbo eigos efektyvumą sustiprina „EdgeStepper“ gebėjimas manipuliuoti DNS atsakymais, o tai leidžia užpuolikams tyliai nukreipti teisėtą programinės įrangos atnaujinimų srautą į savo infrastruktūrą.
