Китайская хакерская группа PlushDaemon атакует сетевое оборудование для проведения атак "противник-посредине"

PlushDaemon демонстрирует высокую активность с 2018 года и нацелена на организации в Китае, Тайване, Гонконге, Камбодже, Южной Корее, США и Новой Зеландии. По данным экспертов, группировка специализируется на промышленном шпионаже и целевых атаках на государственные учреждения. Особую озабоченность вызывает тот факт, что в 2023 году группа провела успешную атаку на цепочку поставок, скомпрометировав сервис VPN в Южной Корее.

Основной метод проникновения PlushDaemon заключается в компрометации сетевых устройств, таких как маршрутизаторы. Злоумышленники используют уязвимости в программном обеспечении или слабые учетные данные администратора для установки импланта EdgeStepper. Этот инструмент, внутренне известный как dns_cheat_v2, перехватывает DNS-запросы в целевой сети и перенаправляет их на контролируемые злоумышленниками DNS-серверы.

Механизм атаки реализуется через многоступенчатую цепочку. Сначала EdgeStepper перенаправляет трафик обновлений популярного программного обеспечения, такого как Sogou Pinyin, на поддельные серверы. Затем жертва получает вредоносное обновление, содержащее загрузчик LittleDaemon. Этот начальный компонент не обладает функционалом постоянства (persistence) в системе, но загружает и выполняет в памяти более сложный загрузчик DaemonicLogistics.

DaemonicLogistics, в свою очередь, отвечает за развертывание основного бэкдора SlowStepper - специализированного инструмента для скрытого удаленного доступа. Интересно, что загрузчик проверяет наличие процесса 360tray.exe, компонента антивирусного решения 360 Total Security, что свидетельствует о тщательной подготовке атак и адаптации под конкретную среду жертвы.

Технический анализ EdgeStepper показал, что имплант разработан на языке Go с использованием фреймворка GoFrame и компилируется для процессоров архитектуры MIPS32. Конфигурационные данные инструмента хранятся в зашифрованном виде в файле /etc/bioset.conf и используют алгоритм AES CBC с ключом "I Love Go Frame!". После загрузки конфигурации EdgeStepper инициализирует систему распределения трафика и систему правил, которые перенаправляют DNS-запросы через iptables.

География атак PlushDaemon демонстрирует глобальный охват группы. С 2019 года жертвами malicious обновлений стали организации в США, Тайване, Китае, Гонконге, Новой Зеландии и Камбодже. Среди конкретных целей фигурируют университет в Пекине, тайваньская компания по производству электроники, предприятия автомобильного сектора в Камбодже и филиал японской производственной компании.

Эксперты отмечают, что атаки типа "противник-посредине" (adversary-in-the-middle) становятся все более популярными среди APT-групп, поскольку позволяют обходить многие традиционные средства защиты. Перехват легитимных процессов обновления дает злоумышленникам возможность доставки вредоносной нагрузки (payload) без подозрений со стороны пользователей и систем безопасности.

Обнаружение EdgeStepper подчеркивает важность защиты сетевой периферии и своевременного обновления прошивок сетевых устройств. Организациям рекомендуется регулярно проверять конфигурации DNS, мониторить необычную сетевую активность и обеспечивать строгую политику управления доступом к критической инфраструктуре. Кроме того, необходимо применять механизмы проверки целостности загружаемых обновлений, такие как цифровые подписи и хеш-суммы.

Продолжающаяся активность PlushDaemon демонстрирует растущую изощренность кибершпионских операций, где компрометация сетевой инфраструктуры становится ключевым элементом успешных атак. Специалисты по безопасности должны учитывать эту тактику при построении комплексной системы защиты от современных угроз.

IPv4

• 120.24.193.58
• 202.105.1.187
• 202.189.8.193
• 202.189.8.69
• 202.189.8.72
• 202.189.8.87
• 47.104.138.190
• 47.108.162.218
• 47.113.200.18
• 47.242.198.250
• 47.74.159.166
• 47.92.6.64
• 47.96.17.237
• 8.130.87.195
• 8.212.132.120

Domains

• 7051.gsm.360safe.company
• agt.wcsset.com
• ds20221202.dsc.wcsset.com
• reverse.wcsset.com
• st.360safe.company
• test.dsc.wcsset.com

URLs

• http://zuoye.free.fr/files/stoll.rar
• https://gitcode.net/LetMeGo22/caffe/raw/master/models/bvlc_mod
• https://gitcode.net/LetMeGo22/caffe/raw/master/models/finetune_flickr_to_python/glib
• https://gitcode.net/LetMeGo22/caffe/raw/master/models/finetune_flickr_to_python/tmod

MD5

• 048daabb4a617de349fa209c0cc43ea8
• 0ec84f5912b540618695397211189ebb
• 100bd14b76a5e570158811a6af448229
• 28d8c979866e46b2447f995bfa4ea5b3
• 2ba80036b9554d9722e199e9d0065831
• 3094bd501c2e4630d06f72453ec6d173
• 334878e6a64b615fa2eabe1fb619c491
• 3657b9297da981bffbd476904f81ebb5
• 4c4ae06411c7f254236f0494e71105ae
• 6518a50ed183c98896fedf46bfc60197
• 6dc6300c50cee115cba51cfebce04ecf
• 872d591261fadbde17bcc99146faafa8
• 9d7dc3bcaa37c5a25c7db7a4f791f3ce
• a551d6c119b490857d70468748980412
• a74bde1d7f6ad8e9faceee20d5716299
• add5e509004b38672a987d1d32fc7fbe
• af56f9399e7bc0f8fa737f2ac29e2872
• b8e14928183dc68fe6dd23c9ca84df6e
• c66e4a18374798beff2782f57daad48e
• d29d5cddbdd402ec252b4b390d93c9e2
• e2bc2361ead7c80eba86a5d1c492865d
• f6a23df9d94f60197ce2faa8f1e2ec9f
• f8befa372cf6bc4df8871f7a252e07ac

SHA1

• 00385604a792b8874238e9b0abc98a423135b2f4
• 06177810d61a69f34091cc9689b813740d4c260f
• 068fd2d209c0bbb0c6fc14e88d63f92441163233
• 0fa9c4958fbd8513a41056938d5fbce6c63bbe03
• 2857bc730952682d39f426d185769938e839a125
• 2db60f0adef14f4ab3573f8309e6fb135f67ed7d
• 3c36574e7683a2c6382dc55345b7d1d544c1c1ef
• 401571851a7cf71783a4cb902db81084f0a97f85
• 4b194770f6054c513b5a3821cb94feea58c09d3c
• 5977a9538627bf274c438fd04a6e20e1a5ba3a4a
• 5a79aea546b04292c099137af4740a944f02963a
• 69974455d8c13c5d57c1ee91e147ff9aed49aebc
• 6b6e16c6e4e5301be715642179b8e19e91f777a4
• 846c025f696da1f6808b9101757c005109f3cf3d
• 8f569641691ecb3888cd4c11932a5b8e13f04b07
• ad4f0428fc9290791d550eeddf171aff046c4c2c
• b5a5da09114f1e8443daf13a799f2645c135b0bc
• b5b5ab0074f81c02f27d263bc3723809be0d86a8
• c58d6ac9d0b2d4e1144490ccde581d9c34cbb38e
• d1eb4427bdb7f59a01fda60811708f07308f7987
• d22b0db144c1b42b1ce2a1741c83d845092fcc61
• eeb4a930ef2d4547b96f06ac6783b06e215c2f13
• eeda5d66285ff8e0baab8621994bf1d365188721

SHA256

• 062264c360b05c6b8a3598b8cd13c72e6cd3b9e34c4ae2c7fc272659599434c3
• 0bbc0407562b651ff15f6a2fa7d336bb656376c874aa8d0db2e35911eae818c1
• 10efcaef52590b4f646046f6df5f65e1772e565fc5280f2934ec5bddaba5520a
• 40df05b4f04ad093b31c9ca07a559be56a700e49f6051b5cb7462db5f85be8c3
• 4dbd9530dd33ea1c133ebb462afd4feac677051db9453c721890fa7210480113
• 5ab8a1ae5b89d48c50313e307713e07ab569f235b9c7b4e01c66bdad908dfc02
• 68e0fd759ab750d21d34b21cdb0ac3ce6d2db623ec53825850e0e1e17095f7ee
• 6b2f49abf8a6d934ab74a11db6628883a03911a008fe178535303f0549067ba5
• 74d742a24eeaddc29c57910392e3eb3f49188aa0d6555aee51bf23a264f2b18a
• 7e15903b87df0b51dcf0b3f28f4b6e0433d68caf376dc5239469891f590e2805
• 809f217d2ed2c8fe7436081cea878e393520ca2afcba4573a04072067358acff
• 86581b757093b44dacc01ebbb609c387860cffc9c8e5ab1e99aa162f06823c0f
• 86ec75124c41ce5dfe05adeaf3c889c00f693c94903c22ad682580cae0ce6a94
• 99c369147b7543d0f9be35bc57703027a494c3d82b1c5f128cc7b78af697a106
• 9c82ccddbf3d542a48c4950a82b4f5913c7be9c8e757ba5b78f6ed59979b7fa6
• 9d0414b6c4fdcddbd8b20bc00d91165606936b3f170cd6d66dcf74665a79a5b2
• a156bf2a9ee09291ae7e684a94baa0403210c17887f459cb0aac465effabe2ba
• b1ed5bf3915bbe5cafb1164ba670ef3d3af4ba67eb203e8fb4b24d375b7bce3a
• b7868fd374ab642cfad1f6e3192423cea5553e6f2a636aef6ee32ad7ee354a5e
• c44bb3cdee68d40920b9e36f80b9a3361520f17d6e470a56bd08f8c5b9054b10
• de7af25b34f1ec80e6d19314bd08afdd57a08f1d6db0c71f4d065965300cc3a7
• ee6e19fff5c0f92b22245dd8ba5d3b93e664829f04c5bc445f631adc6acc0659
• ee95c736b8a4e77f9c87f071f4325215f3eb4c1f90420dc9a15d9005a8f0aeb6