- 中国系PlushDaemonが侵害されたルーターを通じてマルウェアを展開
- PlushDaemonがネットワーク機器上でLittleDaemonおよびDaemonLogisticsを展開
- 最終ペイロードであるSlowStepperはコマンド実行やスパイウェアの展開が可能
中国系ハッカーグループPlushDaemonが、マルウェアを使い、ルーターやその他のネットワーク機器を標的にサプライチェーン攻撃を仕掛けていることがESETによって確認されました。
サイバーセキュリティの専門家によると、このグループは2018年から活動しており、これまでにアメリカ、ニュージーランド、カンボジア、香港、台湾、中国本土の標的に攻撃を仕掛けてきました。
このグループは、ソフトウェアの脆弱性を悪用したり、標的インフラで変更されていないデフォルトの管理者認証情報を利用したりして、ネットワーク機器にEdgeStepperインプラントを展開します。
PlushDaemonがルーターにマルウェア攻撃
ESETの研究者は、ソフトウェア入力方式「搜狗拼音(Sogou Pinyin)」に対する攻撃の手口を調査しました。
EdgeStepperが展開されると、インプラントはソフトウェアアップデートに関連する着信DNSクエリを悪意あるDNSノードへリダイレクトし、その後ソフトウェアアップデートをハイジャック用の悪意あるIPアドレスに誘導します。
正規ノードからのソフトウェアアップデートを受け取る代わりに、ハイジャックノードからLittleDaemonマルウェアダウンローダーを含むDLLファイルが配信されます。LittleDaemonは続いて、メモリ上で実行されるDaemonicLogisticsマルウェアドロッパーを配信し、攻撃の最終段階であるSlowStepperを取得します。
SlowStepperは、システム情報の取得、キーストロークの記録や認証情報の窃取を行うPythonベースのスパイウェアの展開、ファイルの実行やコマンドの実行など、さまざまな悪意ある動作が可能です。PlushDaemonの攻撃ベクトルの性質上、このグループは「世界中の標的を侵害する能力を持っている」とされています。
侵害の兆候やマルウェアの技術的詳細については、ESETによるPlushDaemonの調査をご覧ください。
