Zadnja vrata EdgeStepper
Kitajski akter grožnje, znan kot PlushDaemon, je bil povezan z novo odkritim omrežnim zadnja vrata, ki temeljijo na Go, imenovanim EdgeStepper, orodjem, zasnovanim za podporo operacijam nasprotnika v sredini (AitM). Z manipuliranjem omrežnega prometa na ravni DNS je ta skupina razširila svojo sposobnost prestrezanja in preusmerjanja podatkovnih tokov za ciljno usmerjene vdorne kampanje v več regijah.
Kazalo
EdgeStepper: Preusmeritev prometa na zlonamerno infrastrukturo
EdgeStepper deluje kot mehanizem za ugrabitev na ravni omrežja. Ko je nameščen, preusmeri vsako zahtevo DNS na zunanje zlonamerno vozlišče. Ta manipulacija preusmeri promet, namenjen legitimni infrastrukturi za posodabljanje programske opreme, in ga namesto tega posreduje sistemom pod nadzorom napadalca.
Orodje deluje interno prek dveh primarnih modulov. Distributer razreši naslov zlonamernega vozlišča DNS (npr. test.dsc.wcsset.com), medtem ko Ruler prek iptables konfigurira pravila za filtriranje paketov, da uveljavi preusmeritev. V nekaterih primerih sta vozlišče DNS in vozlišče za ugrabitev eno in isto, zaradi česar storitev DNS med postopkom ponarejanja vrne svoj lastni naslov IP.
Dolgoročne operacije in globalno ciljanje
PlushDaemon, ki deluje vsaj od leta 2018, se osredotoča na organizacije v ZDA, Novi Zelandiji, Kambodži, Hongkongu, Tajvanu, Južni Koreji in celinski Kitajski. Njegove dejavnosti so bile prvič uradno prijavljene januarja 2025 med preiskavo vdora v dobavno verigo, v katero je bil vpleten južnokorejski ponudnik VPN IPany. Ta incident je razkril, kako so napadalci uporabili večnamenski vsadek SlowStepper tako proti podjetju za polprevodnike kot proti neidentificiranemu podjetju za razvoj programske opreme.
Med dodatnimi žrtvami, odkritimi v kasnejših raziskavah, so univerza v Pekingu, proizvajalec elektronike na Tajvanu, avtomobilsko podjetje in regionalna podružnica japonskega proizvodnega podjetja. Analitiki so leta 2025 zabeležili tudi nadaljnjo aktivnost v Kambodži, kjer sta bili tarča zlonamerne ...
Zastrupitev AitM: PlushDaemon-ova glavna strategija vstopa
Skupina se kot svojo začetno tehniko vdora močno zanaša na zastrupitev AitM, trend, ki ga vse bolj delijo tudi druge s Kitajsko povezane skupine APT, kot so LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood in FontGoblin. PlushDaemon začne svojo napadalno verigo tako, da ogrozi napravo na robu omrežja, prek katere se žrtev verjetno poveže. Ogroženost običajno izvira iz nepopravljenih ranljivosti ali šibke avtentikacije.
Ko je naprava pod nadzorom, se namesti EdgeStepper, ki manipulira s prometom DNS. Zlonamerno vozlišče DNS ocenjuje dohodne zahteve in ob zaznavi domen, povezanih s posodobitvami programske opreme, odgovori z IP naslovom ugrabitelja. Ta nastavitev omogoča zlonamerno dostavo koristnih tovorov, ne da bi takoj vzbudila sum.
Ugrabljeni kanali posodobitev in veriga uvajanja
Kampanja PlushDaemona posebej pregleduje mehanizme posodabljanja, ki jih uporablja več kitajskih aplikacij, vključno s Sogou Pinyin, za preusmeritev legitimnega prometa posodobitev. S to manipulacijo napadalci distribuirajo zlonamerno datoteko DLL z imenom LittleDaemon (popup_4.2.0.2246.dll), ki služi kot vsadek prve stopnje. Če sistem še ne gosti zadnjih vrat SlowStepper, LittleDaemon stopi v stik z napadalčevim vozliščem in pridobi program za prenos z imenom DaemonicLogistics.
Vloga DaemonicLogistics je preprosta: prenesite in zaženite SlowStepper. Ko je aktiven, SlowStepper ponuja široko paleto zmogljivosti, ki vključujejo zbiranje sistemskih podatkov, pridobivanje datotek, pridobivanje poverilnic brskalnika, pridobivanje podatkov iz več aplikacij za sporočanje in po potrebi samoodstranjevanje.
Razširjene zmogljivosti z usklajenimi vsadki
Združena funkcionalnost EdgeStepperja, LittleDaemona, DaemonicLogisticsa in SlowStepperja opremlja PlushDaemon s celovitim naborom orodij, ki lahko ogrozijo organizacije po vsem svetu. Njihova usklajena uporaba skupini omogoča stalen dostop, možnosti kraje podatkov in prilagodljivo infrastrukturo za dolgoročno medregijsko delovanje.
Ključna opažanja
Delovanje skupine PlushDaemon razkriva več doslednih tem. Skupina se močno zanaša na zastrupljanje s pomočjo posrednika kot svojo prednostno metodo za pridobitev začetnega oporišča, ki ga uporablja za prestrezanje in preusmerjanje prometa na robu omrežja. Ko je tarča ogrožena, se akter grožnje zanaša na SlowStepper kot svoj glavni implantat po vdoru, pri čemer izkorišča njegove obsežne funkcije zbiranja podatkov in sistemskega izvidovanja. Učinkovitost tega poteka dela krepi EdgeStepperjeva sposobnost manipuliranja z odzivi DNS, kar napadalcem omogoča, da neopazno preusmerijo legitimni promet posodobitev programske opreme v svojo lastno infrastrukturo.
