De bedreigingsacteur bekend als PlucheDaemon Er is waargenomen dat een voorheen ongedocumenteerde, op Go gebaseerde netwerkachterdeur met de codenaam EdgeStepper werd gebruikt om Adversary-in-the-Middle (AitM)-aanvallen te vergemakkelijken.
EdgeStepper “leidt alle DNS-query’s om naar een extern, kwaadaardig kapingsknooppunt, waardoor het verkeer effectief wordt omgeleid van de legitieme infrastructuur die wordt gebruikt voor software-updates naar de door de aanvaller gecontroleerde infrastructuur”, zegt ESET-beveiligingsonderzoeker Facundo Muñoz in een rapport gedeeld met The Hacker News.
PlushDaemon staat bekend als actief sinds ten minste 2018 en wordt beschouwd als een aan China verbonden groep die entiteiten in de VS, Nieuw-Zeeland, Cambodja, Hong Kong, Taiwan, Zuid-Korea en het vasteland van China heeft aangevallen.
Het werd voor het eerst gedocumenteerd door het Slowaakse cyberbeveiligingsbedrijf eerder dit jaar, waarin een supply chain-aanval werd beschreven die gericht was op een Zuid-Koreaanse aanbieder van een virtueel particulier netwerk (VPN), genaamd IPany, om zich te richten op een halfgeleiderbedrijf en een onbekend softwareontwikkelingsbedrijf in Zuid-Korea met een feature-rijk implantaat genaamd SlowStepper.
Tot de slachtoffers van de tegenstander behoren onder meer een universiteit in Peking, een Taiwanees bedrijf dat elektronica produceert, een bedrijf in de automobielsector en een filiaal van een Japans bedrijf in de productiesector. Eerder deze maand zei ESET ook dat PlushDaemon zich dit jaar richtte op twee entiteiten in Cambodja: een bedrijf in de automobielsector en een filiaal van een Japans bedrijf in de productiesector, met SlowStepper.
Het belangrijkste initiële toegangsmechanisme voor de dreigingsactor is het gebruik maken van AitM-vergiftiging, een techniek die de afgelopen twee jaar is omarmd door een “steeds toenemend” aantal aan China gelieerde geavanceerde persistente dreigingsclusters (APT), zoals LuoYu, Evasive
Panda, BlackTech, TheWizards APT, Blackwood en FontGoblin. ESET zei dat het tien actieve, met China verbonden groepen volgt die software-updatemechanismen hebben gekaapt voor initiële toegang en zijdelingse verplaatsing.
De aanval begint feitelijk met het compromitteren van een edge-netwerkapparaat (bijvoorbeeld een router) waarmee het doelwit waarschijnlijk verbinding zal maken. Dit wordt bereikt door gebruik te maken van een beveiligingsfout in de software of door zwakke inloggegevens, waardoor ze caEdgeStepper kunnen inzetten.
“Vervolgens begint EdgeStepper DNS-query’s om te leiden naar een kwaadaardig DNS-knooppunt dat verifieert of het domein in het DNS-querybericht gerelateerd is aan software-updates, en als dat zo is, antwoordt het met het IP-adres van het kapende knooppunt”, legt Muñoz uit. “Als alternatief hebben we ook waargenomen dat sommige servers zowel het DNS-knooppunt als het kapingsknooppunt zijn; in die gevallen antwoordt het DNS-knooppunt op DNS-vragen met zijn eigen IP-adres.”
Intern bestaat de malware uit twee bewegende delen: een distributeurmodule die het IP-adres oplost dat is gekoppeld aan het DNS-knooppuntdomein (“test.dsc.wcsset(.)com”) en de Ruler-component aanroept die verantwoordelijk is voor het configureren van IP-pakketfilterregels met behulp van iptables.
De aanval controleert specifiek of de updatekanalen van verschillende Chinese software, waaronder Sogou Pinyin, zijn gekaapt door middel van EdgeStepper om een kwaadaardige DLL (“popup_4.2.0.2246.dll” oftewel LittleDaemon) af te leveren vanaf een door een bedreigingsacteur bestuurde server. LittleDaemon, een eerste fase die wordt geïmplementeerd via gekaapte updates, is ontworpen om te communiceren met het knooppunt van de aanvaller om een downloader op te halen die DaemonicLogistics wordt genoemd als SlowStepper niet op het geïnfecteerde systeem draait.
Het belangrijkste doel van DaemonicLogistics is om de SlowStepper-backdoor van de server te downloaden en uit te voeren. SlowStepper ondersteunt een uitgebreide reeks functies om systeeminformatie, bestanden en browsergegevens te verzamelen, gegevens uit een aantal berichten-apps te extraheren en zelfs zichzelf te verwijderen.
“Deze implantaten geven PlushDaemon de mogelijkheid om doelen waar dan ook ter wereld te compromitteren,” zei Muñoz.
