Siber güvenlik alanında dünya lideri ESET, Çin bağlantılı tehdit grubu PlushDaemon'un, daha önce belgelenmemiş EdgeStepper adlı bir ağ cihazı implantı kullanarak ortadaki adam saldırıları düzenlediğini tespit etti.
Bu implant, tüm DNS sorgularını kötü amaçlı bir harici DNS sunucusuna yönlendirerek, yazılım güncellemelerinin ele geçirilmesini sağlayan başka bir düğümün adresiyle yanıt veriyor. Böylece, yazılım güncelleme trafiği PlushDaemon'un kontrolündeki altyapıya yönlendirilerek hedef cihazlara LittleDaemon ve DaemonicLogistics indiricileri dağıtılıyor ve nihayetinde SlowStepper implantı yayılıyor. SlowStepper, siber casusluk amaçlı kullanılan çok sayıda bileşene sahip bir arka kapı araç seti olarak biliniyor. Bu implantlar, PlushDaemon'a dünya genelindeki hedeflere sızma imkanı tanıyor.
2019'dan beri aktif olan Çin bağlantılı grup, Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin'de saldırılar gerçekleştirdi. Kurbanlar arasında Pekin'deki bir üniversite, Tayvanlı bir elektronik ürün üreticisi, otomotiv sektöründe faaliyet gösteren bir şirket ve Japonya'daki bir imalat şirketinin şubesi yer alıyor.
ESET araştırmacısı Facundo Muñoz, saldırı senaryosunu şöyle açıkladı: "PlushDaemon, öncelikle hedeflerin bağlanabileceği bir ağ cihazını ele geçiriyor. Bu ele geçirme, cihazdaki yazılımdaki güvenlik açığı veya zayıf, iyi bilinen varsayılan yönetici kimlik bilgileri kullanılarak yapılıyor. Böylece saldırganlar EdgeStepper implantını ve muhtemelen diğer araçları kullanabiliyor. EdgeStepper, DNS sorgularını yazılım güncellemeleriyle ilgili olup olmadığını kontrol eden kötü amaçlı bir DNS düğümüne yönlendiriyor ve eğer öyleyse, sorguya kaçırma düğümünün IP adresiyle yanıt veriyor. Bazı sunucular ise hem DNS düğümü hem de ele geçirme düğümü olarak görev yapıyor ve DNS sorgularına kendi IP adresleriyle cevap veriyor. Birkaç popüler Çin yazılım ürününün güncellemeleri, PlushDaemon tarafından EdgeStepper aracılığıyla ele geçirildi."
PlushDaemon, en az 2018'den beri Doğu Asya-Pasifik bölgesi ve ABD'deki bireyler ile kuruluşlara yönelik casusluk faaliyetleri yürütüyor. ESET, grubun SlowStepper adlı özel bir arka kapı kullandığını belirtiyor. Önceki araştırmalarda, grubun web sunucularındaki güvenlik açıklarını kullanarak erişim sağladığı gözlemlenmişti. Ayrıca, PlushDaemon 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.
Kaynak: (BYZHA) Beyaz Haber Ajansı