Скачали обновление, а прилетел шпион. Знакомьтесь, EdgeStepper

Массовые атаки на инфраструктуру обновлений программ продолжают расширяться, и в этой волне появился очередной инструмент, который позволяет скрытно перенаправлять сетевой трафик и внедрять вредоносные модули через подменённые каналы.

Новый механизм получил обозначение EdgeStepper и применяется группировкой PlushDaemon, которая много лет атакует организации в разных странах Азии и за её пределами. По данным исследователей ESET, этот инструмент стал одним из ключевых элементов цепочки заражения, позволяющей вмешиваться в сетевые запросы и подменять содержимое сервисов доставки обновлений.

Специалисты отмечают, что PlushDaemon использует ранее не описанный сетевой компонент на языке Go, который позволяет провести полноценную атаку по схеме «злоумышленник посередине». EdgeStepper перенаправляет любые DNS-запросы на внешние узлы, контролируемые атакующими, что создаёт возможность подменять адреса сервисов, применяемых для выдачи обновлений. Вместо обращения к легитимным серверам устройства жертвы начинают связываться с инфраструктурой преступников. Это даёт им возможность подсовывать собственные загрузочные цепочки, сохраняя видимость штатного сетевого обмена.

По данным авторов отчёта, группа PlushDaemon активна с конца предыдущего десятилетия и ориентирована на объекты в США, Новой Зеландии, Камбодже, Гонконге, Тайване, Южной Корее и материковом Китае. В январе этого года компания ESET уже описывала её цепочку распространения, включавшую компрометацию корейского провайдера VPN-услуг IPany и доставку функционального компонента SlowStepper. Среди пострадавших упоминались учебные заведения, разработчики, производители электроники, а также подразделения компаний из автомобильной и машиностроительной сфер.

Основной способ проникновения PlushDaemon — отравление трафика на уровне пограничного сетевого оборудования. Такой подход за последние два года получил широкое распространение среди аффилированных с Китаем группировок, включая LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood и FontGoblin. Компания ESET отслеживает как минимум десять активных кластеров, использующих подмену механизмов обновлений не только для первичного проникновения, но и для перемещения по сети.

Атака начинается с получения контроля над устройством на периметре сети — чаще всего маршрутизатором. Это возможно либо благодаря уязвимости в его программном обеспечении, либо из-за слабых паролей. После компрометации злоумышленники разворачивают EdgeStepper, который начинает перенаправлять DNS-запросы на узлы, проверяющие, относится ли домен к сервису обновления. Если да, то вместо настоящего адреса клиент получает координаты узла захвата. В некоторых случаях DNS-сервер и хост, выдающий подменённые обновления, совмещены — тогда ответы приходят с одного и того же адреса.

Внутренне EdgeStepper включает модуль Distributor, определяющий адрес управляющего домена «test.dsc.wcsset.com», и компонент Ruler, который через iptables формирует правила фильтрации. Особое внимание в цепочке уделяется программам, популярным в Китае: проверяется наличие запросов на обновление Sogou Pinyin и нескольких других продуктов. При обнаружении подходящего канала атакующие доставляют библиотеку LittleDaemon, которая связывается с удалённым сервером и загружает следующий элемент цепочки — модуль DaemonicLogistics. Если на системе отсутствует SlowStepper, он будет скачан и запущен.

SlowStepper предоставляет полный набор функций для шифрованного сбора данных: сведения о системе, локальные файлы, сохранённые пароли браузеров и данные популярных мессенджеров. Модуль также может удалять себя после выполнения задач, скрывая следы присутствия.

Специалисты подчёркивают, что сочетание EdgeStepper, LittleDaemon и SlowStepper позволяет PlushDaemon проводить скрытные операции по всему миру, используя давление на инфраструктуру обновлений и контроль за сетевым трафиком как основную точку входа.