‘PlushDaemon’として追跡されている中国関与の脅威アクターが、EdgeStepperと呼ばれる新たなインプラントを用いてソフトウェア更新トラフィックを乗っ取り、サイバースパイ活動を行っています。
2018年以降、PlushDaemonのハッカーは、SlowStepperバックドアなどのカスタムマルウェアを用いて、米国、中国、台湾、香港、韓国、ニュージーランドの個人および組織を標的にしてきました。
PlushDaemonは、電子機器メーカー、大学、そしてカンボジアにある日本の自動車製造工場を侵害しています。サイバーセキュリティ企業ESETのテレメトリーデータによると、2019年以降、この脅威アクターは標的ネットワークへの侵入に悪意あるアップデートを利用してきたことが示されています。
出典: ESET
攻撃チェーン
攻撃者は既知の脆弱性や弱い管理者パスワードを悪用してルーターにアクセスし、EdgeStepperインプラントをインストールしたうえで、ソフトウェア更新トラフィックを自らのインフラへリダイレクトします。
EdgeStepperは、DNSクエリを傍受し、そのドメインがソフトウェア更新の配信に使われていることを確認した後に、それらを悪意あるDNSノードへリダイレクトすることで機能すると、ESETの研究者はBleepingComputerと共有したレポートの中で説明しています。
被害者がソフトウェアを更新しようとすると、Windows向けマルウェアダウンローダーであるLittleDaemonを、‘popup_4.2.0.2246.dll’という名前のDLLファイルに偽装した形で受け取ります。
出典: ESET
LittleDaemonは、DaemonicLogisticsという別のマルウェアドロッパーを取得し、メモリ上で復号・実行して、PlushDaemonの代表的なバックドアであるSlowStepperを取得します。
このバックドアは、韓国製VPN製品IPanyのユーザーに対する攻撃において以前に文書化されています。その攻撃では、ユーザーはベンダーの公式サイトからトロイの木馬化されたインストーラーをダウンロードしていました。
SlowStepperマルウェアにより、ハッカーは詳細なシステム情報の収集、広範なファイル操作の実行、コマンドの実行、そしてブラウザからのデータ窃取、キーストロークの傍受、認証情報の収集が可能な、さまざまなPythonベースのスパイウェアツールの実行が可能になります。
