EdgeStepper 後門
一個名為 PlushDaemon 的中國關聯威脅組織被發現與一種名為 EdgeStepper 的基於 Go 語言的網路後門程式有關。 EdgeStepper 是一款旨在支援中間人攻擊 (AitM) 的工具。該組織透過在 DNS 層操縱網路流量,擴展了其攔截和重定向資料流的能力,從而能夠跨多個地區發起有針對性的入侵活動。
目錄
EdgeStepper:將流量重定向到惡意基礎設施
EdgeStepper 是一種網路層級劫持機制。一旦部署,它會將所有 DNS 請求重定向到外部惡意節點。這種操控會將原本用於合法軟體更新基礎設施的流量轉移到攻擊者控制的系統。
該工具內部透過兩個主要模組運作。分發器(Distributor)解析惡意 DNS 節點的位址(例如 test.dsc.wcsset.com),而統治器(Ruler)則透過 iptables 設定封包過濾規則以強制重定向。在某些情況下,DNS 節點和劫持節點是同一個,導致 DNS 服務在欺騙過程中傳回自身的 IP 位址。
長期行動與全球目標
PlushDaemon 至少自 2018 年起便開始活躍,其攻擊目標遍及美國、紐西蘭、柬埔寨、香港、台灣、韓國和中國大陸等地的組織機構。該組織的活動最早於 2025 年 1 月被正式披露,當時正值對韓國 VPN 提供者 IPany 的供應鏈安全漏洞進行調查之際。這起事件揭露了攻擊者如何針對一家半導體公司和一家身份不明的軟體開發公司部署了多功能植入程式 SlowStepper。
後續研究發現的其他受害者包括北京的一所大學、台灣的一家電子產品製造商、一家汽車公司以及日本製造企業的區域分支機構。分析家也記錄到,2025年柬埔寨也出現了類似的活動,另有兩家機構成為SlowStepper攻擊的目標,一家是汽車產業的機構,另一家與一家日本製造商有關。
AitM 中毒:PlushDaemon 的主要切入策略
該組織嚴重依賴 AITM 投毒作為其初始入侵技術,這種趨勢在其他與中國有關的 APT 集群中也日益普遍,例如 LuoYu、Evasive Panda、BlackTech、TheWizards APT、Blackwood 和 FontGoblin。 PlushDaemon 透過入侵受害者可能連接的邊緣網路設備來啟動其攻擊鏈。這種入侵通常源自於未修補的漏洞或薄弱的身份驗證。
一旦控制了該設備,就會安裝 EdgeStepper 來操縱 DNS 流量。惡意 DNS 節點會評估傳入的請求,並在偵測到與軟體更新相關的網域名稱時,會傳回劫持節點的 IP 位址。這種設定使得惡意程式能夠在不立即引起懷疑的情況下傳遞有效載荷。
被劫持的更新通道和部署鏈
PlushDaemon 的攻擊活動專門針對包括搜狗拼音在內的多個中國應用程式的更新機制進行檢查,以重新導向合法的更新流量。透過這種操縱,攻擊者分發一個名為 LittleDaemon (popup_4.2.0.2246.dll) 的惡意 DLL 文件,作為第一階段植入程式。如果系統尚未安裝 SlowStepper 後門,LittleDaemon 會聯絡攻擊者節點並取得名為 DaemonicLogistics 的下載器。
DaemonicLogistics 的作用很簡單:下載並執行 SlowStepper。啟動後,SlowStepper 提供一系列強大的功能,包括收集系統資訊、獲取文件、提取瀏覽器憑證、從多個訊息應用程式中提取數據,並在必要時自動卸載自身。
透過協調植入物擴展能力
EdgeStepper、LittleDaemon、DaemonicLogistics 和 SlowStepper 的綜合功能使 PlushDaemon 擁有了一套全面的工具集,足以攻破全球各地的組織機構。它們的協同使用賦予了該組織持續的存取權限、資料竊取能力以及用於長期跨區域行動的靈活基礎設施。
關鍵觀察結果
PlushDaemon 的行動展現出幾個一致的主題。該組織主要依賴中間人攻擊作為其首選的初始立足點,利用該技術在網路邊緣攔截並重定向流量。一旦目標系統被攻破,攻擊者便依賴 SlowStepper 作為其主要的入侵後植入程序,充分利用其強大的資料收集和系統偵察功能。 EdgeStepper 操縱 DNS 回應的能力進一步增強了這項工作流程的有效性,攻擊者可以利用該能力悄無聲息地將合法的軟體更新流量重定向到自己的基礎設施。
