'PlushDaemon' olarak takip edilen Çin bağlantılı bir tehdit aktörü, siber casusluk operasyonlarında EdgeStepper adlı yeni bir implant kullanarak yazılım güncelleme trafiğini ele geçiriyor.
PlushDaemon bilgisayar korsanları 2018'den bu yana ABD, Çin, Tayvan, Hong Kong, Güney Kore ve Yeni Zelanda'daki bireyleri ve kuruluşları SlowStepper arka kapısı gibi özel kötü amaçlı yazılımlarla hedef alıyor.
PlushDaemon elektronik üreticilerini, üniversiteleri ve Kamboçya'daki bir Japon otomotiv üretim tesisini ele geçirdi. Siber güvenlik firması ESET'in telemetri verileri, tehdit aktörünün 2019'dan bu yana hedef ağları ihlal etmek için kötü amaçlı güncellemelere güvendiğini gösteriyor.
Saldırganlar, bilinen güvenlik açıklarından veya zayıf yönetici şifrelerinden yararlanarak yönlendiricilere erişim elde eder, EdgeStepper implantını yükler ve ardından yazılım güncelleme trafiğini kendi altyapılarına yönlendirir.
ESET araştırmacıları, BleepingComputer ile paylaşılan bir raporda, Golang'da geliştirilen ve bir ELF ikili dosyası olarak derlenen EdgeStepper'ın, DNS sorgularını yakalayıp, alanın yazılım güncellemeleri sağlamak için kullanıldığını doğruladıktan sonra bunları kötü amaçlı bir DNS düğümüne yönlendirerek çalıştığını açıklıyor.
Bir kurban yazılımını güncellemeye çalıştığında, 'popup_4.2.0.2246.dll' adlı bir DLL dosyası olarak gizlenen LittleDaemon adlı Windows için ilk aşama kötü amaçlı yazılım indiricisini alıyor.
LittleDaemon, saldırganın ele geçiren düğümüyle iletişim kurar ve DaemonicLogistics adlı ikinci bir kötü amaçlı yazılım düşürücüyü getirir; bu öğenin şifresi çözülür ve bellekte yürütülür.
Saldırının bir sonraki aşamasında bilgisayar korsanları, imza arka kapısı olan SlowStepper'ı almak için DaemonicLogistics'i kullanıyor.
Arka kapı daha önce Güney Kore VPN ürünü IPany kullanıcılarına yönelik saldırılarda belgelenmişti. Bu saldırılar sırasında kullanıcılar, satıcının resmi web sitesinden truva atı haline getirilmiş bir yükleyici indirdi.
SlowStepper kötü amaçlı yazılımı, bilgisayar korsanlarının ayrıntılı sistem bilgilerini toplamasına, kapsamlı dosya işlemleri yürütmesine, komutlar çalıştırmasına ve tarayıcıdan veri çalabilen, tuş vuruşlarına müdahale edebilen ve kimlik bilgileri toplayabilen çeşitli Python tabanlı casus yazılım araçlarını kullanmasına olanak tanır.
ESET araştırmacıları, PlushDaemon'un Çin'de oldukça popüler olan bir yazılım giriş yöntemi olan Sogou Pinyin'i ele geçirmesini incelediklerini ancak diğer ürün güncellemelerinin de aynı şekilde ele geçirildiğini gözlemlediklerini söyledi.
PlushDaemon'un ortadaki rakip yeteneklerinin "dünyanın herhangi bir yerindeki hedefleri tehlikeye atacak" kadar güçlü olduğunu belirtiyorlar.
Bugün yayınlanan rapor, yeni ortaya çıkarılan tüm kötü amaçlı yazılımlara ilişkin teknik ayrıntıların yanı sıra, PlushDaemon'un EdgeStepper ağ implantını derinleştiren saldırılarda kullandığı dosyalar, IP adresleri ve etki alanlarına yönelik bir dizi risk göstergesini içeriyor.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Claude AI tarafından otomatikleştirilmiş siber saldırılara ilişkin antropik iddialar şüpheyle karşılandı
ABD, Çinli kripto dolandırıcılarını hedef alan yeni saldırı gücünü duyurdu
Popüler Android tabanlı fotoğraf çerçeveleri açılışta kötü amaçlı yazılım indiriyor
Çin bağlantılı bilgisayar korsanları Lanscope kusurunu saldırılarda sıfır gün olarak kullandı
Mustang Panda bilgisayar korsanları diplomat saldırılarında ağdaki tutsak portalları ele geçirdi
Kaynak: Bleeping Computer