PlushDaemon olarak bilinen Çin merkezli bir tehdit grubu, 2018’den bu yana birden fazla bölgedeki ağlara sızmak için karmaşık bir saldırı yöntemini silahlandırıyor.
Grubun birincil stratejisi, kullanıcıların bilgisayarları ile kötü amaçlı sunucular arasında köprü görevi gören EdgeStepper adlı özel bir aracı konuşlandırarak yasal yazılım güncellemelerine müdahale etmeyi içeriyor.
Bu teknik, bilgisayar korsanlarının, kullanıcıların güvenilir yazılım satıcılarından gelen orijinal güncelleme yüklemeleri olduğuna inandıkları şeylere doğrudan kötü amaçlı yazılım eklemesine olanak tanır.
PlushDaemon’un kampanyası Amerika Birleşik Devletleri, Tayvan, Çin, Hong Kong, Yeni Zelanda ve Kamboçya’daki bireyleri ve kuruluşları hedef aldı.
Grup, yazılım açıklarından yararlanma, zayıf ağ cihazı kimlik bilgileri ve karmaşık tedarik zinciri ihlalleri de dahil olmak üzere çok sayıda saldırı vektörünü kullanıyor.
.webp)
2023 yılında yapılan bir araştırma sırasında araştırmacılar, grubun Güney Kore’deki bir VPN hizmetini etkileyen büyük bir tedarik zinciri saldırısına karıştığını ortaya çıkardı ve bu da onların geniş ölçekte çalışma yeteneklerini ortaya koydu.
ESET güvenlik analistleri, VirusTotal’da PlushDaemon işlemleriyle bağlantılı altyapı ayrıntılarını içeren bir ELF ikili dosyasını keşfettikten sonra EdgeStepper kötü amaçlı yazılımını tanımladı ve inceledi.
Araştırmacılar, geliştiricileri tarafından dahili olarak dns_cheat_v2 kod adı verilen aracın, grubun saldırı altyapısında kritik bir bileşeni temsil ettiğini buldu.
Analiz, bu ağ implantasyonunun, DNS sorgularını engellemek ve yönlendirmek için nasıl çalıştığını, esasen kullanıcıların yasal yazılımlardan beklediği normal güncelleme sürecini ele geçirdiğini ortaya çıkardı.
.webp)
Saldırı, geleneksel güvenlik savunmalarından kaçmak için tasarlanmış çok aşamalı bir enfeksiyon sürecini gösteriyor.
Saldırganlar, güvenlik açığından yararlanarak veya zayıf kimlik bilgileri yoluyla yönlendirici gibi bir ağ cihazını tehlikeye attığında, EdgeStepper, DNS trafiğini engelleyerek işlemine başlar.
Bir kullanıcı Sogou Pinyin gibi bir yazılımı veya benzer Çin uygulamalarını güncellemeye çalıştığında, kötü amaçlı yazılım, bağlantıyı saldırgan tarafından kontrol edilen bir sunucuya yönlendirir.
Bu ele geçirme düğümü daha sonra yasal yazılıma orijinal güncelleme yerine kötü amaçlı bir DLL dosyası indirmesi talimatını verir.
DNS Müdahalesi ve Trafik Yönlendirme Mekanizması
EdgeStepper’ın etkinliğinin teknik temeli, ağ manipülasyonuna yönelik zarif ama tehlikeli yaklaşımında yatmaktadır.
.webp)
GoFrame çerçevesini kullanarak Go programlama dilinde yazılan ve MIPS32 işlemciler için derlenen kötü amaçlı yazılım, bioset.conf adlı şifrelenmiş bir yapılandırma dosyasını okuyarak çalışmaya başlıyor.
Şifre çözme işlemi, GoFrame kitaplığının standart uygulamasının bir parçası olan “I Love Go Frame” dizesinden türetilen varsayılan bir anahtar ve başlatma vektörüne sahip AES CBC şifrelemesini kullanır.
Şifresi çözüldükten sonra yapılandırma iki kritik parametreyi ortaya çıkarır: toPort dinleme bağlantı noktasını belirtirken ana bilgisayar, kötü amaçlı DNS düğümünün etki alanı adını tanımlar.
EdgeStepper daha sonra Distribütör ve Cetvel adı verilen iki çekirdek sistemi başlatır. Distribütör bileşeni, kötü amaçlı DNS düğümünün IP adresini çözer ve trafik akışını koordine ederken, Ruler sistemi, 53 numaralı bağlantı noktasındaki tüm UDP trafiğini EdgeStepper’ın belirlenen bağlantı noktasına yeniden yönlendirmek için iptables komutları verir.
Kötü amaçlı yazılım bu yönlendirmeyi şu komutu kullanarak gerçekleştirir: “iptables -t nat -I PREROUTING -p udp –dport 53 -j REDIRECT –to-port [value_from_toPort]”.
Bu komut esasen ağdaki cihazlardan gelen tüm DNS isteklerini meşru DNS sunucularına ulaşmadan önce EdgeStepper’dan geçmeye zorlar ve yazılım uygulamalarına gönderilen güncelleme talimatlarının mükemmel bir şekilde ele geçirilmesine ve değiştirilmesine olanak tanıyan tam bir ortadaki adam konumu oluşturur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
