EdgeStepper aizmugurējās durvis
Ar Ķīnu saistīts apdraudējumu izpildītājs, kas pazīstams kā PlushDaemon, ir saistīts ar jaunatklātu Go balstītu tīkla aizmugures durvīm ar nosaukumu EdgeStepper — rīku, kas izstrādāts, lai atbalstītu pretinieka starpnieka (AitM) operācijas. Manipulējot tīkla trafiku DNS līmenī, šī grupa ir paplašinājusi savas spējas pārtvert un novirzīt datu plūsmas mērķtiecīgām ielaušanās kampaņām vairākos reģionos.
Satura rādītājs
EdgeStepper: Datplūsmas novirzīšana uz ļaunprātīgu infrastruktūru
EdgeStepper darbojas kā tīkla līmeņa nolaupīšanas mehānisms. Pēc izvietošanas tas novirza katru DNS pieprasījumu uz ārēju ļaunprātīgu mezglu. Šī manipulācija novirza datplūsmu, kas paredzēta likumīgai programmatūras atjauninājumu infrastruktūrai, un tā vietā pārsūta to uzbrucēja kontrolē esošajām sistēmām.
Iekšēji rīks darbojas, izmantojot divus galvenos moduļus. Izplatītājs atšifrē ļaunprātīgā DNS mezgla adresi (piemēram, test.dsc.wcsset.com), savukārt valdnieks konfigurē pakešu filtrēšanas noteikumus, izmantojot iptables, lai nodrošinātu pāradresāciju. Dažos gadījumos DNS mezgls un nolaupīšanas mezgls ir viens un tas pats, kā rezultātā DNS pakalpojums viltošanas procesa laikā atgriež savu IP adresi.
Ilgstošas darbības un globāla mērķauditorijas atlase
PlushDaemon, kas darbojas vismaz kopš 2018. gada, ir koncentrējies uz organizācijām visā ASV, Jaunzēlandē, Kambodžā, Honkongā, Taivānā, Dienvidkorejā un kontinentālajā Ķīnā. Par tā aktivitātēm pirmo reizi oficiāli tika ziņots 2025. gada janvārī izmeklēšanas laikā par piegādes ķēdes kompromitēšanu, kurā bija iesaistīts Dienvidkorejas VPN pakalpojumu sniedzējs IPany. Šis incidents atklāja, kā uzbrucēji izmantoja daudzfunkcionālo implantu SlowStepper gan pret pusvadītāju uzņēmumu, gan pret neidentificētu programmatūras izstrādes uzņēmumu.
Vēlākā pētījumā tika identificēti arī citi upuri, tostarp universitāte Pekinā, elektronikas ražotājs Taivānā, autobūves uzņēmums un Japānas ražošanas uzņēmuma reģionālā filiāle. Analītiķi 2025. gadā reģistrēja arī turpmāku aktivitāti Kambodžā, kur ar SlowStepper tika uzbrukts vēl divām organizācijām — vienai autobūves nozarē un otrai, kas saistīta ar Japānas ražotāju.
AitM saindēšanās: PlushDaemon galvenā ieejas stratēģija
Grupa kā sākotnējo ielaušanās tehniku lielā mērā izmanto AitM saindēšanu, un šī tendence arvien vairāk izplatās arī citos ar Ķīnu saistītos APT klasteros, piemēram, LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood un FontGoblin. PlushDaemon sāk savu uzbrukuma ķēdi, apdraudot perifērijas tīkla ierīci, caur kuru upuris, visticamāk, izveidos savienojumu. Kompromitēšana parasti rodas neaizlabotu ievainojamību vai vājas autentifikācijas dēļ.
Kad ierīce ir iegūta kontrolē, tiek instalēta programma EdgeStepper, lai manipulētu ar DNS datplūsmu. Ļaunprātīgais DNS mezgls novērtē ienākošos pieprasījumus un, atklājot ar programmatūras atjauninājumiem saistītus domēnus, atbild ar nolaupošā mezgla IP adresi. Šī iestatīšana ļauj ļaunprātīgi piegādāt vērtumus, nekavējoties neradot aizdomas.
Nolaupīti atjauninājumu kanāli un izvietošanas ķēde
PlushDaemon kampaņa īpaši pārbauda atjaunināšanas mehānismus, ko izmanto vairākas Ķīnas lietojumprogrammas, tostarp Sogou Pinyin, lai novirzītu likumīgu atjauninājumu trafiku. Ar šīs manipulācijas palīdzību uzbrucēji izplata ļaunprātīgu DLL failu ar nosaukumu LittleDaemon (popup_4.2.0.2246.dll), kas kalpo kā pirmā posma implants. Ja sistēmā vēl nav SlowStepper aizmugurējās durvis, LittleDaemon sazinās ar uzbrucēja mezglu un izgūst lejupielādētāju ar nosaukumu DaemonicLogistics.
DaemonicLogistics loma ir vienkārša: lejupielādēt un palaist SlowStepper. Kad SlowStepper ir aktivizēts, tas nodrošina plašu iespēju klāstu, tostarp sistēmas informācijas apkopošanu, failu iegūšanu, pārlūkprogrammas akreditācijas datu iegūšanu, datu iegūšanu no vairākām ziņojumapmaiņas lietojumprogrammām un, ja nepieciešams, noņemšanu.
Paplašinātas iespējas, izmantojot koordinētus implantus
Apvienojot EdgeStepper, LittleDaemon, DaemonicLogistics un SlowStepper funkcionalitāti, PlushDaemon ir pieejams visaptverošs rīku komplekts, kas spēj apdraudēt organizācijas visā pasaulē. To koordinēta lietošana nodrošina grupai pastāvīgu piekļuvi, datu zādzības iespējas un elastīgu infrastruktūru ilgtermiņa starpreģionālām darbībām.
Galvenie novērojumi
PlushDaemon darbībās atklājas vairākas kopīgas tēmas. Grupa lielā mērā paļaujas uz pretinieka “piesārņošanu” kā savu vēlamo metodi sākotnējās ietekmes iegūšanai, izmantojot to datplūsmas pārtveršanai un novirzīšanai tīkla malā. Kad mērķis ir apdraudēts, apdraudējuma dalībnieks paļaujas uz SlowStepper kā galveno implantu pēc ielaušanās, izmantojot tā plašās datu vākšanas un sistēmas izlūkošanas funkcijas. Šīs darbplūsmas efektivitāti pastiprina EdgeStepper spēja manipulēt ar DNS atbildēm, kas ļauj uzbrucējiem nemanāmi novirzīt likumīgu programmatūras atjauninājumu datplūsmu uz savu infrastruktūru.
