ルーターインプラントがDNSトラフィックを攻撃者の管理するインフラにリダイレクトし、信頼されたアップデートチャネルをスパイ活動用バックドアの配信経路に変える。
中国関連のAPTグループであるPlushDaemonは、EdgeStepperと呼ばれるこれまで文書化されていなかったネットワークインプラントを展開し、侵害されたネットワーク機器上でDNSトラフィックを乗っ取っています。
ESETの研究者によると、乗っ取られたトラフィックは攻撃者が管理するインフラにリダイレクトされ、悪意のあるペイロードの配信が可能になります。
「まず、PlushDaemonはターゲットが接続する可能性のあるネットワーク機器(例えばルーター)を侵害します。この侵害は、おそらく機器上で動作しているソフトウェアの脆弱性を突くか、弱いまたはよく知られたデフォルトの管理者認証情報を利用することで達成され、攻撃者はEdgeStepperを展開できるようになります」とESETの研究者はブログ投稿で述べており、インプラントはその後、ソフトウェアアップデートに使用される正規インフラからのトラフィックを再ルーティングすると付け加えています。
この新しいツールの最終目標は、信頼されたアップデートメカニズムを利用して、グループの代表的なバックドアであるSlowStepperをWindowsマシンにインストールし、正規に見えるソフトウェアアップデートをスパイ活動の配信ポイントに変えることです。
ESETのテレメトリによると、PlushDaemonは少なくとも2018年から活動しており、米国、台湾、香港、ニュージーランドの組織を標的にしています。
EdgeStepperがネットワーク機器を乗っ取りAitMを実現
PlushDaemonの最初の動きは、ターゲットのノートパソコンを直接攻撃することではなく、その周囲のインフラを侵害することです。ESETは、EdgeStepper(社内では「dns-cheat-v2」と呼ばれる)インプラントがMIPS32向けにコンパイルされ、GoFrameフレームワークを用いてGoで構築されており、ルーターなどのネットワーク機器を標的としていることを発見しました。
インストールされると、EdgeStepperはデバイス上で「iptables」ルールを設定し、ポート53(DNS)の全UDPトラフィックをローカルプロキシ(デフォルトではポート1090)にリダイレクトし、そのクエリを悪意のあるDNSノードに転送します。
Adversary-in-the-Middle(AitM)攻撃は、プロキシがソフトウェアアップデートに関連するドメインへのDNSクエリを検出することで進行します。このようなクエリが来ると、正規のものではなく攻撃者が管理するサーバーのIPで応答します。つまり、本来正規ベンダーに向かうはずのアップデート要求が、ユーザーが気づかないうちに攻撃者のインフラにルーティングされます。
この手法は、脅威をエンドポイントからネットワーク層に移し、信頼されたアップデートが流れるインフラ自体を侵害します。研究者たちは、組織に対し、異常なDNSリダイレクトパターンを監視し、アップデートサーバーの解決を検証するよう警告しています。
乗っ取られたアップデートからバックドア展開へ
ネットワーク機器が密かにリダイレクト役となることで、PlushDaemonは乗っ取ったアップデートチャネルを利用してエンドシステムへのアクセスを得ます。ESETは、典型的な被害者のソフトウェア(中国語入力メソッドアプリなど)がアップデートサーバーにHTTP GETを発行する際、DNSが乗っ取られているため、そのリクエストが攻撃者管理のインフラに到達する様子を観測しました。
ペイロードチェーンは通常、DLLを装ったダウンローダーであるLittleDaemonから始まり、最終ペイロードの存在をチェックします。存在しない場合、さらに別のコンポーネントであるDaemonicLogisticsを取得します。このツールは、乗っ取られたサーバーからのHTTPステータスコードをコマンドとして解釈し、ターゲットマシンに代表的なバックドアであるSlowStepperをダウンロード・インストールします。
SlowStepperは、ブラウザデータ収集、音声・映像キャプチャ、文書窃取、認証情報収集などのモジュールを備えた多機能なスパイ活動用バックドアです。PlushDaemonがネットワーク基盤を攻撃手段として武器化した動きは、攻撃者が従来のエンドポイント攻撃から、より静かで信頼を悪用する手法へとシフトしていることを示しています。今年初めにも、中国関連のキャンペーンがJuniperルーターにバックドアを仕込んでいたことが判明しており、攻撃者がPCだけでなくネットワーク機器自体に潜伏する意欲を示しています。
