Basın Bülteni- ESET, PlushDaemon grubunun ortadaki adam saldırıları için ağ cihazlarını ele geçirdiğini ortaya çıkardı

Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile bağlantılı tehdit grubu
PlushDaemon'un, ESET'in EdgeStepper adını verdiği, daha önce belgelenmemiş
bir ağ cihazı implantını kullanarak ortadaki adam saldırıları gerçekleştirdiğini
keşfetti.

İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren başka bir düğümün adresiyle
yanıt veren kötü amaçlı bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme
trafiğini, hedef makinelere LittleDaemon ve DaemonicLogistics indiricilerini
dağıtmak ve nihayetinde SlowStepper implantını yaymak amacıyla saldırganların
kontrolündeki altyapıya etkili bir şekilde yeniden yönlendiriyor. SlowStepper,
siber casusluk için kullanılan düzinelerce bileşene sahip bir arka kapı
araç setidir. Bu implantlar, PlushDaemon'a dünyanın herhangi bir yerindeki hedefleri
tehlikeye atma yeteneği kazandırıyor.

Çin ile bağlantılı bu grup 2019'dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda,
Kamboçya, Hong Kong, Tayvan ve Çin'de saldırılar düzenliyor. Kurbanları
arasında Pekin'deki bir üniversite, elektronik ürünler üreten bir Tayvanlı şirket,
otomotiv sektöründe faaliyet gösteren bir şirket ve imalat sektöründe faaliyet
gösteren bir Japon şirketinin şubesi bulunuyor.

Saldırıyı ortaya çıkaran ve analiz eden ESET araştırmacısı Facundo Muñoz şu açıklamayı
yaptı: Keşfedilen saldırı senaryosunda, PlushDaemon önce hedeflerinin bağlanabileceği
bir ağ cihazını ele geçiriyor, bu ele geçirme muhtemelen cihazda
çalışan yazılımdaki bir güvenlik açığını veya zayıf veya iyi bilinen varsayılan
yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper'ı
(ve muhtemelen diğer araçları) kullanmasına olanak tanıyor. Ardından,
EdgeStepper DNS sorgularını, DNS sorgu mesajındaki etki alanının yazılım güncellemeleriyle
ilgili olup olmadığını doğrulayan kötü amaçlı bir DNS düğümüne
yönlendirmeye başlar ve eğer öyleyse kaçırma düğümünün IP adresiyle yanıt verir.
Alternatif olarak, bazı sunucuların hem DNS düğümü hem de ele geçirme düğümü
olduğunu da gözlemledik, bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle
yanıt verir. Birkaç popüler Çin yazılım ürününün güncellemeleri, EdgeStepper
aracılığıyla PlushDaemon tarafından ele geçirildi.

PlushDaemon, en az 2018 yılından beri aktif olan ve Doğu Asya-Pasifik ve Amerika
Birleşik Devletleri'ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde
bulunan, Çin ile bağlantılı bir tehdit aktörüdür. ESET'in SlowStepper olarak izlediği
özel bir arka kapı kullanır. Geçmişte, ESET Research bu grubun web sunucularındaki
güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti. Grup 2023
yılında bir tedarik zinciri saldırısı gerçekleştirmişti.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -