- Çin uyumlu PlushDaemon, güvenliği ihlal edilmiş yönlendiriciler aracılığıyla kötü amaçlı yazılım dağıtıyor
- PlushDaemon, LittleDaemon ve DaemonLogistics’i ağ cihazlarına dağıtıyor
- Son yük olan SlowStepper, komutları çalıştırabilir ve casus yazılım dağıtabilir
Çin merkezli bilgisayar korsanlığı grubu PlushDaemon, ESET tarafından yönlendiricileri ve diğer ağ cihazlarını hedef aldığı tespit edildi. kötü amaçlı yazılım Tedarik zinciri saldırıları başlatmak için.
Siber güvenlik uzmanları, grubun 2018’den bu yana aktif olduğunu ve şu ana kadar ABD, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin ana karasındaki hedeflere saldırılar düzenlediğini belirtiyor.
Grup, yazılım açıklarından yararlanarak veya hedeflenen altyapıda değiştirilmemiş varsayılan yönetici kimlik bilgilerini kullanarak EdgeStepper implantını ağ cihazlarına dağıtıyor.
PlushDaemon kötü amaçlı yazılım içeren yönlendiricilere saldırıyor
ESET araştırmacıları saldırının yazılım giriş yöntemi Sogou Pinyin’e karşı nasıl gerçekleştiğini inceledi.
EdgeStepper konuşlandırıldıktan sonra implant, yazılım güncellemeleriyle ilgili gelen DNS sorgularını kötü amaçlı bir DNS düğümüne yönlendirmeye başlayacak ve bu düğüm de yazılım güncellemelerini, ele geçirme için kullanılan kötü amaçlı bir IP adresine yönlendirecek.
Meşru düğümden bir yazılım güncellemesi almak yerine, ele geçirilen düğümden LittleDaemon kötü amaçlı yazılım indiricisini içeren bir DLL dosyası sunulur. LittleDaemon daha sonra bellekte çalıştırılan DaemonicLogistics kötü amaçlı yazılım damlatıcısına hizmet ederek saldırının son adımını alır: SlowStepper.
Slowstepper, sistem bilgilerini almak, tuş vuruşlarını kaydetmek ve kimlik bilgilerini çalmak için Python tabanlı casus yazılımları dağıtmak veya dosyaları yürütmek ve komutları çalıştırmak gibi bir dizi kötü amaçlı eylem gerçekleştirebilir. PlushDaemon’un saldırı vektörünün doğası gereği, grup “dünyanın herhangi bir yerindeki hedefleri tehlikeye atma yeteneğine” sahiptir.
Tehlike göstergeleri ve kötü amaçlı yazılımla ilgili teknik ayrıntılar hakkında daha fazla bilgi için şu adrese göz atın: ESET’in PlushDaemon Araştırması.
Her bütçeye uygun en iyi antivirüs