Nhóm tấn công mạng được biết đến với tên gọi PlushDaemon đã bị phát hiện sử dụng một backdoor mạng dựa trên Go chưa từng được ghi nhận trước đây, có tên mã EdgeStepper, để tạo điều kiện thuận lợi cho các cuộc tấn công Adversary-in-the-Middle (AitM).
EdgeStepper "chuyển hướng tất cả các truy vấn DNS đến một nút chiếm quyền độc hại bên ngoài, hiệu quả là định tuyến lại lưu lượng truy cập từ cơ sở hạ tầng hợp pháp được sử dụng để cập nhật phần mềm sang cơ sở hạ tầng do kẻ tấn công kiểm soát," nhà nghiên cứu bảo mật Facundo Muñoz của ESET cho biết trong một báo cáo được chia sẻ với The Hacker News.
Được biết đến là hoạt động từ ít nhất năm 2018, PlushDaemon được đánh giá là một nhóm liên kết với Trung Quốc đã tấn công các thực thể ở Hoa Kỳ, New Zealand, Campuchia, Hồng Kông, Đài Loan, Hàn Quốc và Trung Quốc đại lục.
Nó được công ty an ninh mạng Slovakia ghi nhận lần đầu tiên vào tháng 1 năm nay, mô tả chi tiết một cuộc tấn công chuỗi cung ứng nhằm vào nhà cung cấp mạng riêng ảo (VPN) của Hàn Quốc có tên IPany để nhắm mục tiêu vào một công ty bán dẫn và một công ty phát triển phần mềm không xác định ở Hàn Quốc bằng một implant giàu tính năng được gọi là SlowStepper.
Các nạn nhân của nhóm tấn công này bao gồm một trường đại học ở Bắc Kinh, một công ty Đài Loan sản xuất thiết bị điện tử, một công ty trong lĩnh vực ô tô và một chi nhánh của một công ty Nhật Bản trong lĩnh vực sản xuất. Đầu tháng này, ESET cũng cho biết họ đã quan sát thấy PlushDaemon nhắm mục tiêu vào hai thực thể ở Campuchia trong năm nay, một công ty trong lĩnh vực ô tô và một chi nhánh của một công ty Nhật Bản trong lĩnh vực sản xuất, bằng SlowStepper.
Cơ chế tấn công của EdgeStepper
Cơ chế truy cập ban đầu chính của nhóm tấn công là lợi dụng AitM poisoning, một kỹ thuật đã được "ngày càng nhiều" các nhóm Advanced Persistent Threat (APT) liên kết với Trung Quốc áp dụng trong hai năm qua, chẳng hạn như LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood và FontGoblin. ESET cho biết họ đang theo dõi mười nhóm liên kết với Trung Quốc đang hoạt động đã chiếm quyền cơ chế cập nhật phần mềm để truy cập ban đầu và di chuyển ngang.
Cuộc tấn công về cơ bản bắt đầu bằng việc nhóm tấn công chiếm quyền một thiết bị mạng biên (ví dụ: một router) mà mục tiêu có khả năng kết nối. Điều này được thực hiện bằng cách khai thác một lỗ hổng bảo mật trong phần mềm hoặc thông qua thông tin đăng nhập yếu, cho phép chúng triển khai caEdgeStepper.
"Sau đó, EdgeStepper bắt đầu chuyển hướng các truy vấn DNS đến một nút DNS độc hại, nút này sẽ xác minh xem miền trong tin nhắn truy vấn DNS có liên quan đến các bản cập nhật phần mềm hay không, và nếu có, nó sẽ trả lời bằng địa chỉ IP của nút chiếm quyền," Muñoz giải thích. "Ngoài ra, chúng tôi cũng quan sát thấy rằng một số máy chủ vừa là nút DNS vừa là nút chiếm quyền; trong những trường hợp đó, nút DNS trả lời các truy vấn DNS bằng địa chỉ IP của chính nó."
Cấu trúc malware và khả năng của SlowStepper
Bên trong, malware bao gồm hai phần: một module Distributor giải quyết địa chỉ IP liên quan đến tên miền nút DNS ("test.dsc.wcsset[.]com") và gọi thành phần Ruler chịu trách nhiệm cấu hình các quy tắc lọc gói IP bằng iptables.
Cuộc tấn công đặc biệt kiểm tra một số phần mềm Trung Quốc, bao gồm Sogou Pinyin, để chiếm quyền các kênh cập nhật của chúng thông qua EdgeStepper nhằm phân phối một DLL độc hại ("popup_4.2.0.2246.dll" hay còn gọi là LittleDaemon) từ một máy chủ do nhóm tấn công kiểm soát. Một giai đoạn đầu được triển khai thông qua các bản cập nhật bị chiếm quyền, LittleDaemon được thiết kế để liên lạc với nút tấn công nhằm lấy một trình tải xuống được gọi là DaemonicLogistics nếu SlowStepper không chạy trên hệ thống bị nhiễm.
Mục đích chính của DaemonicLogistics là tải xuống backdoor SlowStepper từ máy chủ và thực thi nó. SlowStepper hỗ trợ một bộ tính năng mở rộng để thu thập thông tin hệ thống, tệp, browser credentials, trích xuất dữ liệu từ một số ứng dụng nhắn tin và thậm chí tự gỡ cài đặt.
"Những implant này cung cấp cho PlushDaemon khả năng xâm nhập mục tiêu ở bất kỳ đâu trên thế giới," Muñoz nói.
