VietNetwork.Vn

Kẻ tấn công có tên PlushDaemon đã bị phát hiện sử dụng một cửa hậu mạng dựa trên Go chưa được ghi chép trước đó có tên mã là EdgeStepper để tạo điều kiện cho các cuộc tấn công ở giữa (AitM).

Nhà nghiên cứu bảo mật ESET Facundo Muñoz cho biết trong một báo cáo chia sẻ với The Hacker News rằng EdgeStepper "chuyển hướng tất cả các truy vấn DNS đến một nút chiếm quyền điều khiển độc hại bên ngoài, trên thực tế chuyển hướng lưu lượng truy cập từ cơ sở hạ tầng hợp pháp được sử dụng để cập nhật phần mềm sang cơ sở hạ tầng do kẻ tấn công kiểm soát".


Được biết là hoạt động ít nhất từ năm 2018, PlushDaemon được đánh giá là một nhóm có liên kết với Trung Quốc đã tấn công các thực thể ở Hoa Kỳ, New Zealand, Campuchia, Hồng Kông, Đài Loan, Hàn Quốc và Trung Quốc đại lục.

Công ty an ninh mạng Slovakia lần đầu tiên ghi nhận vụ việc vào đầu tháng 1, nêu chi tiết về một cuộc tấn công chuỗi cung ứng nhằm vào nhà cung cấp mạng riêng ảo (VPN) của Hàn Quốc có tên là IPany để nhắm vào một công ty bán dẫn và một công ty phát triển phần mềm không xác định tại Hàn Quốc bằng một phần mềm cấy ghép giàu tính năng có tên là SlowStepper.

Trong số các nạn nhân của kẻ tấn công có một trường đại học ở Bắc Kinh, một công ty Đài Loan sản xuất thiết bị điện tử, một công ty trong lĩnh vực ô tô và một chi nhánh của một công ty Nhật Bản trong lĩnh vực sản xuất. Đầu tháng này, ESET cũng cho biết họ đã quan sát thấy PlushDaemon nhắm mục tiêu vào hai thực thể tại Campuchia trong năm nay, một công ty trong lĩnh vực ô tô và một chi nhánh của một công ty Nhật Bản trong lĩnh vực sản xuất, bằng mã độc SlowStepper.


Cơ chế truy cập ban đầu chủ yếu của kẻ tấn công là lợi dụng đầu độc AitM, một kỹ thuật đã được "ngày càng nhiều" các nhóm tấn công APT (mối đe dọa dai dẳng tiên tiến) có liên hệ với Trung Quốc áp dụng trong hai năm qua, chẳng hạn như LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood và FontGoblin. ESET cho biết họ đang theo dõi mười nhóm hoạt động có liên hệ với Trung Quốc đã chiếm quyền điều khiển các cơ chế cập nhật phần mềm để truy cập ban đầu và di chuyển ngang.

Cuộc tấn công về cơ bản bắt đầu bằng việc kẻ tấn công xâm nhập vào một thiết bị mạng biên (ví dụ: bộ định tuyến) mà mục tiêu có khả năng kết nối đến. Điều này được thực hiện bằng cách khai thác lỗ hổng bảo mật trong phần mềm hoặc thông qua thông tin đăng nhập yếu, cho phép chúng triển khai caEdgeStepper.

"Sau đó, EdgeStepper bắt đầu chuyển hướng các truy vấn DNS đến một nút DNS độc hại để xác minh xem tên miền trong thông báo truy vấn DNS có liên quan đến các bản cập nhật phần mềm hay không, và nếu có, nó sẽ trả lời bằng địa chỉ IP của nút chiếm quyền điều khiển", Muñoz giải thích. "Ngoài ra, chúng tôi cũng quan sát thấy một số máy chủ vừa là nút DNS vừa là nút chiếm quyền điều khiển; trong những trường hợp đó, nút DNS sẽ trả lời các truy vấn DNS bằng địa chỉ IP của chính nó."

Về mặt nội bộ, phần mềm độc hại bao gồm hai phần chuyển động: mô-đun Distributor phân giải địa chỉ IP được liên kết với miền nút DNS ("test.dsc.wcsset[.]com") và gọi thành phần Ruler chịu trách nhiệm cấu hình các quy tắc lọc gói IP bằng iptables.

Cuộc tấn công đặc biệt kiểm tra một số phần mềm Trung Quốc, bao gồm cả Sogou Pinyin, để đảm bảo kênh cập nhật của chúng bị EdgeStepper chiếm quyền điều khiển, nhằm phân phối một DLL độc hại ("popup_4.2.0.2246.dll" hay còn gọi là LittleDaemon) từ máy chủ do kẻ tấn công kiểm soát. Là giai đoạn đầu tiên được triển khai thông qua các bản cập nhật bị chiếm quyền điều khiển, LittleDaemon được thiết kế để giao tiếp với nút của kẻ tấn công để tải xuống một trình tải xuống được gọi là DaemonicLogistics nếu SlowStepper không chạy trên hệ thống bị nhiễm.

Mục đích chính của DaemonicLogistics là tải xuống backdoor SlowStepper từ máy chủ và thực thi nó. SlowStepper hỗ trợ một bộ tính năng mở rộng để thu thập thông tin hệ thống, tệp, thông tin đăng nhập trình duyệt, trích xuất dữ liệu từ một số ứng dụng nhắn tin và thậm chí tự gỡ cài đặt.

Muñoz cho biết: "Những thiết bị cấy ghép này giúp PlushDaemon có khả năng tấn công mục tiêu ở bất kỳ đâu trên thế giới".