はじめに
中国に関連するとされる脅威アクター「PlushDaemon」が、サイバースパイ活動において新しいインプラント「EdgeStepper」を用いてソフトウェア更新トラフィックを乗っ取っています。
標的と影響
2018年以来、「PlushDaemon」のハッカーは、米国、中国、台湾、香港、韓国、ニュージーランドの個人や組織を標的とし、SlowStepperバックドアなどのカスタムマルウェアを使用しています。彼らは、エレクトロニクスメーカー、大学、カンボジアにある日本の自動車製造工場を侵害してきました。サイバーセキュリティ企業ESETのテレメトリーデータによると、2019年以降、この脅威アクターは標的ネットワークに侵入するために悪意のある更新に依存しています。
攻撃チェーンの詳細
攻撃者は、既知の脆弱性や弱い管理者パスワードを悪用してルーターにアクセスし、「EdgeStepper」インプラントをインストールします。その後、ソフトウェア更新トラフィックを自身のインフラストラクチャにリダイレクトします。
ESETの研究者によると、「EdgeStepper」はDNSクエリを傍受し、そのドメインがソフトウェア更新の配信に使用されていることを確認した後、悪意のあるDNSノードにリダイレクトすることで機能します。被害者がソフトウェアを更新しようとすると、Windows用の「LittleDaemon」マルウェアダウンローダーが「popup_4.2.0.2246.dll」というDLLファイルとして偽装されて受信されます。
「LittleDaemon」は、「DaemonicLogistics」という別のマルウェアドロッパーをフェッチし、メモリ内で復号・実行します。これにより、「PlushDaemon」の代表的なバックドアである「SlowStepper」が取得されます。
SlowStepperの機能
このバックドアは、以前、韓国のVPN製品「IPany」のユーザーに対する攻撃で文書化されており、その際、ユーザーはベンダーの公式サイトからトロイの木馬化されたインストーラーをダウンロードしていました。「SlowStepper」マルウェアは、ハッカーが詳細なシステム情報を収集し、広範なファイル操作を実行し、コマンドを実行し、ブラウザからデータを盗んだり、キーストロークを傍受したり、認証情報を収集したりできるさまざまなPythonベースのスパイウェアツールを実行することを可能にします。