Um grupo de ameaças alinhado à China, conhecido como PlushDaemon, vem armando um método de ataque sofisticado para se infiltrar em redes em várias regiões desde 2018.
A principal estratégia do grupo envolve a interceptação de atualizações legítimas de software por meio da implantação de uma ferramenta especializada chamada EdgeStepper, que atua como uma ponte entre os computadores dos usuários e os servidores maliciosos.
Essa técnica permite que hackers injetem malware diretamente no que os usuários acreditam serem instalações de atualização autênticas de fornecedores de software confiáveis.
A campanha do PlushDaemon tem como alvo indivíduos e organizações nos Estados Unidos, Taiwan, China, Hong Kong, Nova Zelândia e Camboja.
O grupo emprega múltiplos vetores de ataque, incluindo exploração de vulnerabilidades de software, credenciais fracas de dispositivos de rede e comprometimentos sofisticados da cadeia de suprimentos.
Primeiras etapas do ataque (Fonte – Welivesecurity)
Durante uma investigação de 2023, os investigadores descobriram o envolvimento do grupo num grande ataque à cadeia de abastecimento que afetou um serviço VPN sul-coreano, demonstrando a sua capacidade de operar em escala.
Os analistas de segurança da ESET identificaram e examinaram o malware EdgeStepper após descobrirem um arquivo binário ELF no VirusTotal que continha detalhes de infraestrutura vinculados às operações do PlushDaemon.
Os pesquisadores descobriram que a ferramenta, codinome interno dns_cheat_v2 por seus desenvolvedores, representa um componente crítico na infraestrutura de ataque do grupo.
A análise revelou como esse implante de rede funciona para interceptar e redirecionar consultas DNS, essencialmente sequestrando o processo normal de atualização que os usuários esperam de software legítimo.
Fase final do sequestro de atualização (Fonte – Welivesecurity)
O ataque demonstra um processo de infecção em vários estágios, projetado para escapar das defesas de segurança tradicionais.
Depois que os invasores comprometem um dispositivo de rede, como um roteador, por meio da exploração de vulnerabilidades ou credenciais fracas, o EdgeStepper inicia sua operação interceptando o tráfego DNS.
Quando um usuário tenta atualizar software como o Sogou Pinyin ou aplicativos chineses semelhantes, o malware redireciona a conexão para um servidor controlado pelo invasor.
Esse nó sequestrador instrui o software legítimo a baixar um arquivo DLL malicioso em vez da atualização genuína.
Mecanismo de interceptação de DNS e redirecionamento de tráfego
A base técnica da eficácia do EdgeStepper reside na sua abordagem elegante, mas perigosa, à manipulação de redes.
Fluxo de trabalho EdgeStepper (Fonte – Welivesecurity)
Escrito na linguagem de programação Go usando a estrutura GoFrame e compilado para processadores MIPS32, o malware começa a operar lendo um arquivo de configuração criptografado chamado bioset.conf.
O processo de descriptografia usa criptografia AES CBC com uma chave padrão e um vetor de inicialização derivado da string “I Love Go Frame”, que faz parte da implementação padrão da biblioteca GoFrame.
Depois de descriptografada, a configuração revela dois parâmetros críticos: toPort especifica a porta de escuta, enquanto host identifica o nome de domínio do nó DNS malicioso.
EdgeStepper então inicializa dois sistemas principais chamados Distribuidor e Régua. O componente Distribuidor resolve o endereço IP do nó DNS malicioso e coordena o fluxo de tráfego, enquanto o sistema Ruler emite comandos iptables para redirecionar todo o tráfego UDP na porta 53 para a porta designada do EdgeStepper.
O malware realiza esse redirecionamento usando o comando: “iptables -t nat -I PREROUTING -p udp –dport 53 -j REDIRECT –to-port (value_from_toPort)”.
Este comando essencialmente força todas as solicitações de DNS de dispositivos na rede a passarem pelo EdgeStepper antes de chegar aos servidores DNS legítimos, criando uma posição intermediária completa que permite a interceptação e modificação perfeitas das instruções de atualização enviadas aos aplicativos de software.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
