Çinli tehdit grubu yazılım güncellemelerini sahte sunuculara yönlendiriyor

İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren başka bir düğümün adresiyle yanıt veren kötü amaçlı bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme trafiğini, hedef makinelere LittleDaemon ve DaemonicLogistics indiricilerini dağıtmak ve nihayetinde SlowStepper implantını yaymak amacıyla saldırganların kontrolündeki altyapıya etkili bir şekilde yeniden yönlendiriyor. SlowStepper, siber casusluk için kullanılan düzinelerce bileşene sahip bir arka kapı araç setidir. Bu implantlar, PlushDaemon’a dünyanın herhangi bir yerindeki hedefleri tehlikeye atma yeteneği kazandırıyor.

Çin ile bağlantılı bu grup 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de saldırılar düzenliyor. Kurbanları arasında Pekin’deki bir üniversite, elektronik ürünler üreten bir Tayvanlı şirket, otomotiv sektöründe faaliyet gösteren bir şirket ve imalat sektöründe faaliyet gösteren bir Japon şirketinin şubesi bulunuyor.

Saldırıyı ortaya çıkaran ve analiz eden ESET araştırmacısı Facundo Muñoz şu açıklamayı yaptı:” Keşfedilen saldırı senaryosunda, PlushDaemon önce hedeflerinin bağlanabileceği bir ağ cihazını ele geçiriyor; bu ele geçirme muhtemelen cihazda çalışan yazılımdaki bir güvenlik açığını veya zayıf veya iyi bilinen varsayılan yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper’ı (ve muhtemelen diğer araçları) kullanmasına olanak tanıyor. Ardından, EdgeStepper DNS sorgularını, DNS sorgu mesajındaki etki alanının yazılım güncellemeleriyle ilgili olup olmadığını doğrulayan kötü amaçlı bir DNS düğümüne yönlendirmeye başlar ve eğer öyleyse kaçırma düğümünün IP adresiyle yanıt verir. Alternatif olarak, bazı sunucuların hem DNS düğümü hem de ele geçirme düğümü olduğunu da gözlemledik; bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle yanıt verir.  Birkaç popüler Çin yazılım ürününün güncellemeleri, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildi.

PlushDaemon, en az 2018 yılından beri aktif olan ve Doğu Asya-Pasifik ve Amerika Birleşik Devletleri’ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde bulunan, Çin ile bağlantılı bir tehdit aktörüdür. ESET’in SlowStepper olarak izlediği özel bir arka kapı kullanır. Geçmişte, ESET Research bu grubun web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti.  Grup 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.