Μια ομάδα απειλών ευθυγραμμισμένη με την Κίνα, γνωστή ως PlushDaemon, χρησιμοποιεί μια εξελιγμένη μέθοδο επίθεσης για να διεισδύσει σε δίκτυα σε πολλές περιοχές από το 2018.
Η κύρια στρατηγική της ομάδας περιλαμβάνει την παρεμπόδιση νόμιμων ενημερώσεων λογισμικού με την ανάπτυξη ενός εξειδικευμένου εργαλείου που ονομάζεται EdgeStepper, το οποίο λειτουργεί ως γέφυρα μεταξύ των υπολογιστών των χρηστών και των κακόβουλων διακομιστών.
Αυτή η τεχνική επιτρέπει στους χάκερ να εισάγουν κακόβουλο λογισμικό απευθείας σε αυτό που οι χρήστες πιστεύουν ότι είναι αυθεντικές εγκαταστάσεις ενημέρωσης από αξιόπιστους προμηθευτές λογισμικού.
Η καμπάνια του PlushDaemon έχει στοχεύσει άτομα και οργανισμούς στις Ηνωμένες Πολιτείες, την Ταϊβάν, την Κίνα, το Χονγκ Κονγκ, τη Νέα Ζηλανδία και την Καμπότζη.
Η ομάδα χρησιμοποιεί πολλαπλούς φορείς επιθέσεων, συμπεριλαμβανομένης της εκμετάλλευσης τρωτών σημείων λογισμικού, αδύναμων διαπιστευτηρίων συσκευών δικτύου και εξελιγμένους συμβιβασμούς στην εφοδιαστική αλυσίδα.
.webp.jpeg)
Κατά τη διάρκεια μιας έρευνας του 2023, οι ερευνητές αποκάλυψαν τη συμμετοχή της ομάδας σε μια μεγάλη επίθεση εφοδιαστικής αλυσίδας που επηρέαζε μια υπηρεσία VPN της Νότιας Κορέας, αποδεικνύοντας την ικανότητά τους να λειτουργούν σε κλίμακα.
Αναλυτές ασφαλείας της ESET αναγνωρισθείς και εξέτασε το κακόβουλο λογισμικό EdgeStepper αφού ανακάλυψε ένα δυαδικό αρχείο ELF στο VirusTotal που περιείχε λεπτομέρειες υποδομής που συνδέονται με λειτουργίες PlushDaemon.
Οι ερευνητές διαπίστωσαν ότι το εργαλείο, με την εσωτερική κωδική ονομασία dns_cheat_v2 από τους προγραμματιστές του, αντιπροσωπεύει ένα κρίσιμο στοιχείο στην υποδομή επίθεσης της ομάδας.
Η ανάλυση αποκάλυψε πώς λειτουργεί αυτό το εμφύτευμα δικτύου για να υποκλέψει και να ανακατευθύνει ερωτήματα DNS, παραβιάζοντας ουσιαστικά την κανονική διαδικασία ενημέρωσης που περιμένουν οι χρήστες από το νόμιμο λογισμικό.
.webp.jpeg)
Η επίθεση καταδεικνύει μια διαδικασία μόλυνσης πολλαπλών σταδίων που έχει σχεδιαστεί για να αποφεύγει τις παραδοσιακές άμυνες ασφαλείας.
Μόλις οι εισβολείς παραβιάσουν μια συσκευή δικτύου, όπως έναν δρομολογητή, μέσω εκμετάλλευσης ευπάθειας ή αδύναμων διαπιστευτηρίων, το EdgeStepper ξεκινά τη λειτουργία του παρεμποδίζοντας την κυκλοφορία DNS.
Όταν ένας χρήστης επιχειρεί να ενημερώσει λογισμικό όπως το Sogou Pinyin ή παρόμοιες κινεζικές εφαρμογές, το κακόβουλο λογισμικό ανακατευθύνει τη σύνδεση σε έναν διακομιστή που ελέγχεται από τους εισβολείς.
Αυτός ο κόμβος πειρατείας δίνει στη συνέχεια οδηγίες στο νόμιμο λογισμικό να πραγματοποιήσει λήψη ενός κακόβουλου αρχείου DLL αντί της γνήσιας ενημέρωσης.
Μηχανισμός υποκλοπής και ανακατεύθυνσης κυκλοφορίας DNS
Το τεχνικό θεμέλιο της αποτελεσματικότητας του EdgeStepper βρίσκεται στην κομψή αλλά επικίνδυνη προσέγγισή του στον χειρισμό του δικτύου.
.webp.jpeg)
Γραμμένο στη γλώσσα προγραμματισμού Go χρησιμοποιώντας το πλαίσιο GoFrame και μεταγλωττισμένο για επεξεργαστές MIPS32, το κακόβουλο λογισμικό ξεκινά τη λειτουργία του διαβάζοντας ένα κρυπτογραφημένο αρχείο διαμόρφωσης με το όνομα bioset.conf.
Η διαδικασία αποκρυπτογράφησης χρησιμοποιεί κρυπτογράφηση AES CBC με προεπιλεγμένο κλειδί και διάνυσμα αρχικοποίησης που προέρχεται από τη συμβολοσειρά “I Love Go Frame”, η οποία αποτελεί μέρος της τυπικής υλοποίησης της βιβλιοθήκης GoFrame.
Μόλις αποκρυπτογραφηθεί, η διαμόρφωση αποκαλύπτει δύο κρίσιμες παραμέτρους: το toPort καθορίζει τη θύρα ακρόασης, ενώ ο κεντρικός υπολογιστής προσδιορίζει το όνομα τομέα του κακόβουλου κόμβου DNS.
Στη συνέχεια, το EdgeStepper προετοιμάζει δύο βασικά συστήματα που ονομάζονται Distributor και Ruler. Το στοιχείο Distributor επιλύει τη διεύθυνση IP του κακόβουλου κόμβου DNS και συντονίζει τη ροή κυκλοφορίας, ενώ το σύστημα Ruler εκδίδει εντολές iptables για να ανακατευθύνει όλη την κίνηση UDP στη θύρα 53 στην καθορισμένη θύρα του EdgeStepper.
Το κακόβουλο λογισμικό ολοκληρώνει αυτήν την ανακατεύθυνση χρησιμοποιώντας την εντολή: “iptables -t nat -I PREROUTING -p udp –dport 53 -j REDIRECT –to-port [value_from_toPort]”.
Αυτή η εντολή ουσιαστικά αναγκάζει όλα τα αιτήματα DNS από συσκευές στο δίκτυο να περάσουν μέσω του EdgeStepper πριν φτάσουν σε νόμιμους διακομιστές DNS, δημιουργώντας μια πλήρη θέση man-in-the-middle που επιτρέπει τέλεια παρακολούθηση και τροποποίηση των οδηγιών ενημέρωσης που αποστέλλονται σε εφαρμογές λογισμικού.
