資安研究機構 ESET 揭露中國駭客組織 PlushDaemon ,利用名為 EdgeStepper 的新型植入程式,劫持軟體更新流量來進行網路間諜活動,將日常的軟體更新程序變成入侵管道。
ESET 指出,PlushDaemon 的中間人攻擊能力足以「在世界任何地方危害目標」。過去兩年,越來越多中國相關的進階持續性威脅(APT)組織採用這種攻擊技術,包括 LuoYu、Evasive Panda、BlackTech、TheWizards APT、Blackwood 和 FontGoblin。
ESET 目前正在追蹤十個活躍的中國相關組織,它們都利用劫持軟體更新機制來進行初始存取和橫向移動。
長期活躍的威脅組織與受害者
PlushDaemon 自 2018 年起持續活動,攻擊目標遍及美國、中國、台灣、香港、南韓和紐西蘭的個人與組織。該組織使用多種客製化惡意軟體,包括
SlowStepper 後門程式。
根據 ESET 的遙測數據,這個威脅組織從 2019 年開始就依賴惡意更新機制來入侵目標網路。受害者包括北京的一所大學、台灣的電子製造商、汽車產業公司,以及一家日本製造業公司在柬埔寨的分支機構。攻擊範圍涵蓋學術機構、工業和商業環境。
運作機制與多階段攻擊
EdgeStepper 是一個用 Golang 開發並編譯為 ELF 二進位檔案的植入程式。攻擊者首先透過已知漏洞或弱密碼取得路由器的存取權限,接著部署 EdgeStepper,將軟體更新流量重新導向到他們控制的基礎設施。
EdgeStepper 會攔截 DNS 查詢並將它們重新導向到惡意 DNS 節點。該節點會確認網域是否用於軟體更新,若是則回覆攻擊者劫持節點的 IP 位址。
當受害者嘗試更新軟體時,會收到第一階段的惡意軟體下載器 LittleDaemon,偽裝成名為 popup_4.2.0.2246.dll 的 DLL 檔案。LittleDaemon 與攻擊者的劫持節點建立通訊後,會取得第二階段的惡意軟體投放器 DaemonicLogistics,並在記憶體中解密執行。接著,駭客使用 DaemonicLogistics 部署其招牌後門程式 SlowStepper。
SlowStepper 後門程式讓駭客能夠收集詳細的系統資訊、執行檔案操作、執行命令,並使用各種基於 Python 的間諜軟體工具。這些工具可以從瀏覽器竊取資料、攔截鍵盤輸入、收集憑證,以及從多個通訊應用程式提取資料。
防護建議
面對這類供應鏈攻擊,組織應採取以下防護措施:
- 定期更新網路設備韌體並修補已知漏洞
- 使用強密碼並啟用多因素驗證來保護管理介面
- 監控 DNS 流量中的異常活動
- 驗證軟體更新的數位簽章
- 實施網路分段以限制潛在的橫向移動
- 部署端點偵測與回應(EDR)解決方案
本文轉載自 BleepingComputer、HelpNetSecurity、TheHackerNews。