Çin bağlantılı grup, yazılım güncellemelerini sahte sunuculara yönlendirerek MITM saldırıları düzenliyor

ESET, Çin ile bağlantılı tehdit grubu PlushDaemon'un, EdgeStepper adını verdiği, daha önce belgelenmemiş bir ağ cihazı implantını kullanarak ortadaki adam (MITM) saldırıları gerçekleştirdiğini ortaya çıkardı.

Bu implant, saldırganların yazılım güncellemelerini sahte sunuculara yönlendirmesine olanak tanıyor.EdgeStepper implantı, ele geçirilen ağ cihazı üzerinden tüm DNS sorgularını kötü amaçlı harici bir DNS sunucusuna yönlendiriyor.

Bu sunucu, yazılım güncelleme trafiğini saldırganların kontrolündeki altyapıya yeniden yönlendirerek LittleDaemon ve DaemonicLogistics indiricilerini hedef makinelere dağıtıyor.

Nihai olarak yayılan implant ise siber casusluk için kullanılan düzinelerce bileşene sahip bir arka kapı araç seti olan SlowStepper..

Bu araç seti, PlushDaemon grubuna dünyanın herhangi bir yerindeki hedeflere erişim yeteneği kazandırıyor.En az 2018 yılından beri aktif olan bu Çin bağlantılı grup, 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de saldırılar düzenliyor.

Saldırılardan etkilenen kurbanlar arasında Pekin'deki bir üniversite, elektronik ürünler üreten bir Tayvanlı şirket, otomotiv sektöründe faaliyet gösteren bir şirket ve imalat sektöründe faaliyet gösteren bir Japon şirketinin şubesi bulunuyor.

Grubun daha önce 2023 yılında bir tedarik zinciri saldırısı gerçekleştirdiği de biliniyor.Saldırıyı analiz eden ESET araştırmacısı Facundo Muñoz, PlushDaemon’un ilk adımda hedeflerin bağlanabileceği bir ağ cihazını ele geçirdiğini belirtti.

Bu ele geçirme işleminin, muhtemelen cihazdaki yazılım güvenlik açığı veya zayıf yönetici kimlik bilgileri kullanılarak gerçekleştirildiği tahmin ediliyor.

Muñoz, EdgeStepper’ın bu ağ cihazı üzerinden DNS sorgularını yönlendirerek birkaç popüler Çin yazılım ürününün güncellemelerini ele geçirdiğini açıkladı.