はじめに:巧妙なサプライチェーン攻撃「EdgeStepper」
ESETの研究者たちは、中国と関連があるとされる脅威アクターPlushDaemonが、未公開のネットワークインプラントEdgeStepperを悪用して中間者攻撃(Adversary-in-the-Middle攻撃)を行っていることを明らかにしました。この攻撃では、ネットワークデバイスを侵害し、DNSクエリを悪意のあるサーバーにリダイレクトすることで、正規のソフトウェアアップデートを乗っ取り、SlowStepperバックドアを含むトロイの木馬化されたバージョンに置き換えています。この手法により、PlushDaemonは少なくとも2018年以降、複数の大陸の標的を侵害してきました。
EdgeStepperの機能と悪用手口
PlushDaemonの攻撃インフラの中心は、開発者によって内部的に「dns_cheat_v2」と呼ばれるEdgeStepperです。このツールは、GoFrameフレームワークを使用して作成されたMIPS32 ELFファイルとしてコンパイルされており、侵害されたネットワーク内でネットワークトラフィックパターンを根本的に変更するDNSプロキシとして機能します。
EdgeStepperは、まず/etc/bioset.confから暗号化された設定データをロードし、デフォルトキー「I Love Go Framework!」を使用してAES CBCで復号します。既知の脆弱性や弱い認証情報を通じて悪用されたルーターなどの侵害されたネットワークデバイスに展開されると、EdgeStepperはすべてのDNSトラフィックをポート53からリスナーポート1090にリダイレクトします。その後、インプラントはDNSクエリをPlushDaemonオペレーターが制御する悪意のあるDNSノードに転送します。
Sogou Pinyinの「info.pinyin.sogou.com」のような正規のソフトウェアアップデートドメインに対するクエリが攻撃者のDNSサーバーに到達すると、攻撃者が制御するハイジャックノードのIPアドレスで応答します。これにより、アップデートをダウンロードしようとする正規のソフトウェアは、代わりにこの偽のサーバーに接続し、正規のアップデートを装った悪意のあるペイロードを受け取ることになります。
攻撃シーケンス:バックドア「SlowStepper」の展開
攻撃シーケンスは、洗練されたダウンローダーコンポーネントを含む複数の段階で展開されます。
- 正規のソフトウェアがEdgeStepperによって侵害されたネットワークを介してアップデートを要求すると、ハイジャックノードは最初のステージのペイロードとして機能する32ビットPE実行可能ファイル「LittleDaemon」を提供します。
- LittleDaemonはシステム上にSlowStepperバックドアが既に存在するかどうかを確認し、存在しない場合はディスクに触れることなくメモリ内で直接実行される位置独立コード「DaemonicLogistics」をダウンロードします。
- DaemonicLogisticsは、HTTPステータスコードをハイジャックサーバーからのコマンドとして解釈し、少なくとも7つの異なる操作を実行します。
- ダウンローダーは、最終的なSlowStepperインプラントを要求する前に、OSバージョンの識別とMACアドレスの収集を行います。
- 受信したペイロードは、ZIPアーカイブ用のPK\3\4や暗号化されたペイロード用のGIF89aといった特定のマジックバイトシーケンスを使用して検証され、XOR復号を使用してWindowsシステム全体にバックドアを抽出し、展開します。
被害状況と標的
PlushDaemonによるEdgeStepperを悪用したキャンペーンは、2019年以降、7つの国と地域の個人や組織を侵害してきました。被害は米国、台湾、中国本土(北京の大学と台湾の電子機器メーカーを含む)、香港、ニュージーランド、カンボジアに及んでいます。2025年のカンボジアでの作戦では、日本の企業支店を含む自動車および製造業が標的となりました。台湾では2021年と2024年に連続して侵害が発生しており、この地域への継続的な関心が示されています。
技術的インフラストラクチャ
復旧されたEdgeStepperの設定からは、PlushDaemonのインフラ設計が明らかになっています。悪意のあるDNSノードのドメインは「ds20221202.dsc.wcsset[.]com」を通じて解決されます。バイナリ内の未使用の設定ブロックには、2021年以降ハイジャックノードのソースとして特定されたIPアドレス「47.242.198[.]250」に解決されるドメイン「test.dsc.wcsset[.]com」が含まれていました。
ペイロードの配信は通常、侵害された正規のドメイン(ime.sogou.comまたはmobads.baidu.com)または直接IPアドレスを経由し、ハイジャックノードのトラフィック傍受を利用して正規のアップデートサーバーとして偽装します。
対策と提言
このキャンペーンは、PlushDaemonが洗練されたサプライチェーン攻撃手法とネットワークレベルの侵害技術へと進化していることを示しています。組織は、DNSクエリの監視、ハイジャックを防ぐためのDNS-over-HTTPSの実装、およびネットワークデバイスの徹底的な強化を優先すべきです。このグループがネットワークインフラを侵害する能力を持っていることは、地政学的に機密性の高い地域や機密性の高い知的財産または政府情報を扱う組織にとって、極めて重大な脅威となります。
IoC(侵害指標)
ファイル
- SHA-1: 8F569641691ECB3888CD4C11932A5B8E13F04B07, ファイル名: bioset, ESET検出名: Linux/Agent.AEP, 説明: EdgeStepper
- SHA-1: 06177810D61A69F34091CC9689B813740D4C260F, ファイル名: bioset.conf, ESET検出名: Win32/Rozena.BXX, 説明: EdgeStepper encrypted configuration
- SHA-1: 69974455D8C13C5D57C1EE91E147FF9AED49AEBC, ファイル名: popup_4.2.0.2246.dll, ESET検出名: Win32/Agent.AGXK, 説明: LittleDaemon
- SHA-1: 2857BC730952682D39F426D185769938E839A125, ファイル名: sogou_wubi_15.4.0.2508_0000.exe, ESET検出名: Win32/Agent.AFDT, 説明: LittleDaemon
ネットワーク
- IPアドレス: 8.212.132[.]120, ドメイン: ds20221202.dsc.wcsset[.]com, ホスティングプロバイダ: Alibaba (US) Technology Co., Ltd., 初回確認: 2024‑07‑12, 詳細: DNS/Hijacking node
- IPアドレス: 47.242.198[.]250, ドメイン: test.dsc.wcsset[.]com, ホスティングプロバイダ: Alibaba Cloud LLC, 初回確認: 2024‑07‑12, 詳細: DNS/Hijacking node