EdgeStepper Backdoor

சீனாவுடன் இணைந்த அச்சுறுத்தல் நடிகர், PlushDaemon என அழைக்கப்படுகிறார், புதிதாக கண்டுபிடிக்கப்பட்ட Go- அடிப்படையிலான நெட்வொர்க் பின்கதவான EdgeStepper உடன் இணைக்கப்பட்டுள்ளது, இது எதிரியின் நடுவில் (AitM) செயல்பாடுகளை ஆதரிக்க வடிவமைக்கப்பட்ட ஒரு கருவியாகும். DNS மட்டத்தில் நெட்வொர்க் போக்குவரத்தை கையாளுவதன் மூலம், இந்த குழு பல பிராந்தியங்களில் இலக்கு வைக்கப்பட்ட ஊடுருவல் பிரச்சாரங்களுக்கான தரவு ஓட்டங்களை இடைமறித்து திருப்பிவிடும் திறனை விரிவுபடுத்தியுள்ளது.

எட்ஜ்ஸ்டெப்பர்: தீங்கிழைக்கும் உள்கட்டமைப்புக்கு போக்குவரத்தைத் திருப்பிவிடுதல்

EdgeStepper ஒரு நெட்வொர்க் அளவிலான ஹைஜாக்கிங் பொறிமுறையாக செயல்படுகிறது. பயன்படுத்தப்பட்டவுடன், ஒவ்வொரு DNS கோரிக்கையையும் வெளிப்புற தீங்கிழைக்கும் முனைக்கு மாற்றியமைக்கிறது. இந்த கையாளுதல் முறையான மென்பொருள் புதுப்பிப்பு உள்கட்டமைப்பிற்காக வடிவமைக்கப்பட்ட போக்குவரத்தை திருப்பி, அதற்கு பதிலாக தாக்குபவர்களின் கட்டுப்பாட்டின் கீழ் உள்ள அமைப்புகளுக்கு அனுப்புகிறது.

உள்நாட்டில், கருவி இரண்டு முதன்மை தொகுதிகள் மூலம் செயல்படுகிறது. விநியோகஸ்தர் தீங்கிழைக்கும் DNS முனையின் முகவரியை (எ.கா., test.dsc.wcsset.com) தீர்க்கிறார், அதே நேரத்தில் ரூலர் திசைதிருப்பலைச் செயல்படுத்த iptables வழியாக பாக்கெட்-வடிகட்டுதல் விதிகளை உள்ளமைக்கிறார். சில சந்தர்ப்பங்களில், DNS முனை மற்றும் ஹைஜாக்கிங் முனை ஆகியவை ஒன்றே, இதனால் DNS சேவை ஏமாற்று செயல்பாட்டின் போது அதன் சொந்த IP முகவரியைத் திருப்பிவிடும்.

நீண்டகால செயல்பாடுகள் மற்றும் உலகளாவிய இலக்கு

குறைந்தது 2018 முதல் செயல்பாட்டில் உள்ள PlushDaemon, அமெரிக்கா, நியூசிலாந்து, கம்போடியா, ஹாங்காங், தைவான், தென் கொரியா மற்றும் சீனாவின் பிரதான நிலப்பகுதி முழுவதும் உள்ள நிறுவனங்களில் கவனம் செலுத்தி வருகிறது. தென் கொரிய VPN வழங்குநரான IPany சம்பந்தப்பட்ட விநியோகச் சங்கிலி சமரசம் தொடர்பான விசாரணையின் போது அதன் செயல்பாடுகள் முதன்முதலில் ஜனவரி 2025 இல் முறையாக அறிவிக்கப்பட்டன. அந்த சம்பவம், தாக்குதல் நடத்தியவர்கள் ஒரு குறைக்கடத்தி நிறுவனம் மற்றும் அடையாளம் தெரியாத மென்பொருள் மேம்பாட்டு நிறுவனம் ஆகிய இரண்டிற்கும் எதிராக மல்டிஃபங்க்ஸ்னல் இம்பிளாண்ட் ஸ்லோஸ்டெப்பரை எவ்வாறு பயன்படுத்தினார்கள் என்பதை வெளிப்படுத்தியது.

பின்னர் நடத்தப்பட்ட ஆராய்ச்சியில் அடையாளம் காணப்பட்ட கூடுதல் பாதிக்கப்பட்டவர்களில் பெய்ஜிங்கில் உள்ள ஒரு பல்கலைக்கழகம், தைவானில் உள்ள ஒரு மின்னணு உற்பத்தியாளர், ஒரு வாகன நிறுவனம் மற்றும் ஜப்பானிய உற்பத்தி நிறுவனத்தின் ஒரு பிராந்திய கிளை ஆகியவை அடங்கும். 2025 ஆம் ஆண்டில் கம்போடியாவில் மேலும் செயல்பாடுகளை ஆய்வாளர்கள் பதிவு செய்தனர், அங்கு ஆட்டோமொடிவ் துறையில் ஒன்று மற்றும் ஜப்பானிய உற்பத்தியாளருடன் தொடர்புடைய மற்றொரு நிறுவனம் ஸ்லோஸ்டெப்பரால் குறிவைக்கப்பட்டது.

AitM விஷம்: PlushDaemon இன் முதன்மை நுழைவு உத்தி

இந்தக் குழு அதன் ஆரம்ப ஊடுருவல் நுட்பமாக AitM நச்சுத்தன்மையை பெரிதும் நம்பியுள்ளது, இந்த போக்கு LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood மற்றும் FontGoblin போன்ற சீனாவுடன் இணைந்த APT கிளஸ்டர்களிடையே அதிகரித்து வருகிறது. பாதிக்கப்பட்டவர் இணைக்கக்கூடிய ஒரு எட்ஜ் நெட்வொர்க் சாதனத்தை சமரசம் செய்வதன் மூலம் PlushDaemon அதன் தாக்குதல் சங்கிலியைத் தொடங்குகிறது. சமரசம் பொதுவாக இணைக்கப்படாத பாதிப்புகள் அல்லது பலவீனமான அங்கீகாரத்திலிருந்து உருவாகிறது.

சாதனம் கட்டுப்பாட்டில் வந்ததும், DNS போக்குவரத்தை கையாள EdgeStepper நிறுவப்படும். தீங்கிழைக்கும் DNS முனை உள்வரும் கோரிக்கைகளை மதிப்பிடுகிறது மற்றும் மென்பொருள் புதுப்பிப்புகளுடன் இணைக்கப்பட்ட டொமைன்களைக் கண்டறியும்போது, ஹைஜாக்கிங் முனையின் IP முகவரியுடன் பதிலளிக்கிறது. இந்த அமைப்பு உடனடியாக சந்தேகத்தை எழுப்பாமல் தீங்கிழைக்கும் பேலோடுகளை வழங்க உதவுகிறது.

கடத்தப்பட்ட புதுப்பிப்பு சேனல்கள் மற்றும் வரிசைப்படுத்தல் சங்கிலி

PlushDaemon இன் பிரச்சாரம், Sogou Pinyin உட்பட பல சீன பயன்பாடுகளால் முறையான புதுப்பிப்பு போக்குவரத்தை திருப்பிவிடப் பயன்படுத்தப்படும் புதுப்பிப்பு வழிமுறைகளை குறிப்பாக ஆய்வு செய்கிறது. இந்த கையாளுதலின் மூலம், தாக்குபவர்கள் LittleDaemon (popup_4.2.0.2246.dll) என்ற தீங்கிழைக்கும் DLL ஐ விநியோகிக்கின்றனர், இது முதல் நிலை உள்வைப்பாக செயல்படுகிறது. கணினி ஏற்கனவே SlowStepper பின்புறத்தை ஹோஸ்ட் செய்யவில்லை என்றால், LittleDaemon தாக்குபவர் முனையைத் தொடர்புகொண்டு DaemonicLogistics எனப்படும் பதிவிறக்கியை மீட்டெடுக்கிறது.

DaemonicLogistics-இன் பங்கு நேரடியானது: SlowStepper-ஐ பதிவிறக்கி இயக்கவும். செயல்பட்டவுடன், SlowStepper பல்வேறு திறன்களை வழங்குகிறது, இதில் கணினி விவரங்களைச் சேகரித்தல், கோப்புகளைப் பெறுதல், உலாவி சான்றுகளைப் பிரித்தெடுத்தல், பல செய்தியிடல் பயன்பாடுகளிலிருந்து தரவை இழுத்தல் மற்றும் தேவைப்பட்டால் தன்னை நீக்குதல் ஆகியவை அடங்கும்.

ஒருங்கிணைந்த உள்வைப்புகள் மூலம் விரிவாக்கப்பட்ட திறன்கள்

EdgeStepper, LittleDaemon, DaemonicLogistics மற்றும் SlowStepper ஆகியவற்றின் ஒருங்கிணைந்த செயல்பாடு, உலகளாவிய நிறுவனங்களை சமரசம் செய்யும் திறன் கொண்ட ஒரு விரிவான கருவித்தொகுப்புடன் PlushDaemon ஐ சித்தப்படுத்துகிறது. அவற்றின் ஒருங்கிணைந்த பயன்பாடு குழுவிற்கு தொடர்ச்சியான அணுகல், தரவு திருட்டு திறன்கள் மற்றும் நீண்டகால குறுக்கு-பிராந்திய செயல்பாடுகளுக்கு நெகிழ்வான உள்கட்டமைப்பை வழங்குகிறது.

முக்கிய அவதானிப்புகள்

PlushDaemon-இன் செயல்பாடுகள் பல நிலையான கருப்பொருள்களை வெளிப்படுத்துகின்றன. இந்தக் குழு, ஆரம்பக் காலடியைப் பெறுவதற்கு, நெட்வொர்க் விளிம்பில் போக்குவரத்தை இடைமறித்து திருப்பிவிட, அதைப் பயன்படுத்துவதற்கு எதிரியின் நடுவில் விஷத்தையே அதன் விருப்பமான முறையாக பெரிதும் நம்பியுள்ளது. ஒரு இலக்கு சமரசம் செய்யப்பட்டவுடன், அச்சுறுத்தல் நடிகர் அதன் முக்கிய ஊடுருவலுக்குப் பிந்தைய உள்கட்டமைப்பாக SlowStepper-ஐச் சார்ந்து, அதன் விரிவான தரவு சேகரிப்பு மற்றும் அமைப்பு-உளவு அம்சங்களைப் பயன்படுத்திக் கொள்கிறார். இந்த பணிப்பாய்வின் செயல்திறன், EdgeStepper-இன் DNS பதில்களைக் கையாளும் திறனால் வலுப்படுத்தப்படுகிறது, இது தாக்குபவர்கள் தங்கள் சொந்த உள்கட்டமைப்பை நோக்கி சட்டப்பூர்வமான மென்பொருள் புதுப்பிப்பு போக்குவரத்தை அமைதியாகத் திருப்ப அனுமதிக்கிறது.