Международная кибершпионская кампания, приписываемая группировке PlushDaemon, демонстрирует, насколько опасным может быть злоупотребление механизмами обновления программного обеспечения. По данным исследователей из ESET, злоумышленники захватывают трафик обновлений через взломанные маршрутизаторы и перенаправляют его на свою инфраструктуру, используя специализированную малварь EdgeStepper.
Группировка PlushDaemon: география атак и типы целей
По оценке ESET, активность PlushDaemon прослеживается как минимум с 2018 года. Кампания ориентирована как на частных пользователей, так и на организации в США, Китае, Тайване, Гонконге, Южной Корее и Новой Зеландии. Такой разброс жертв указывает на кибершпионаж, а не на массовые финансово мотивированные атаки.
Среди зафиксированных целей — производители электроники, университеты и завод крупного японского автопроизводителя в Камбодже. Исследователи связывают PlushDaemon с Китаем по совокупности признаков: целям, инфраструктуре и типичным для китайских APT-групп тактикам. При этом официальной атрибуции на уровне государств пока нет, что типично для сложных шпионских операций.
Цепочка атаки: от уязвимого роутера до полного контроля над системой
Компрометация маршрутизаторов и перехват сетевого трафика
Кампания PlushDaemon строится вокруг компрометации сетевой периферии. Атаки обычно начинаются с эксплуатации известных уязвимостей в роутерах или подбора слабых и дефолтных паролей. Получив доступ к устройству, злоумышленники устанавливают на него вредоносный компонент EdgeStepper.
EdgeStepper, написанный на Go и поставляемый как ELF-бинарник, реализует модель adversary-in-the-middle: он перехватывает DNS-запросы и после проверки домена перенаправляет их на контролируемую атакующими DNS-ноду. Таким образом, весь трафик, связанный с обновлениями определённых приложений, оказывается под контролем PlushDaemon.
Злоупотребление механизмами обновления программного обеспечения
Ключевая особенность данной кампании — перехват обновлений ПО. По данным ESET, с 2019 года PlushDaemon почти полностью перешла на модель взлома через вредоносные обновления, что делает атаку похожей по эффекту на известные supply-chain инциденты вроде компрометации SolarWinds или CCleaner, хотя механизм реализации другой.
EdgeStepper фильтрует DNS-запросы и переадресует только те, которые относятся к доменам обновления ПО. Исследователи фиксировали, в частности, подмену обновлений популярного в Китае метода ввода Sogou Pinyin, а также других программных продуктов, названия которых не раскрываются. Для конечного пользователя процесс выглядит как обычное обновление, но фактически вместо легитимного пакета загружается вредоносный код.
Многоступенчатая цепочка заражения: LittleDaemon, DaemonicLogistics и SlowStepper
Когда жертва запускает «обновление», вместо легитимного компонента ей подсовывается загрузчик первой стадии — LittleDaemon, замаскированный под DLL-файл popup_4.2.0.2246.dll. Этот модуль связывается с сервером перехвата и скачивает следующий элемент цепочки — DaemonicLogistics.
DaemonicLogistics расшифровывается и выполняется непосредственно в памяти, что затрудняет его обнаружение традиционными антивирусами. Его задача — выгрузить и активировать основную полезную нагрузку — кастомный бэкдор SlowStepper, который PlushDaemon использует как основной инструмент длительного присутствия в системе.
Возможности бэкдора SlowStepper и кража данных
SlowStepper предоставляет злоумышленникам широкий набор функций: сбор детальной информации о системе, управление файлами, удалённое выполнение команд. Дополнительно он способен загружать и запускать написанные на Python модули-шпионы для кражи данных из браузеров, перехвата нажатий клавиш и извлечения учетных данных.
ESET отмечает, что SlowStepper уже ранее фигурировал в атаках на пользователей южнокорейского VPN-сервиса IPany. Тогда был скомпрометирован официальный сайт провайдера, и жертвы скачивали заражённый установщик непосредственно с легитимного ресурса. Текущая кампания с EdgeStepper развивает ту же идею, но делает её более универсальной за счёт перехвата сетевого трафика обновлений.
Почему возможности PlushDaemon представляют глобальную угрозу
По оценке ESET, технические возможности PlushDaemon для adversary-in-the-middle-атак достаточно развиты, чтобы потенциально скомпрометировать цели где угодно, независимо от страны и сектора. Перехват обновлений ПО позволяет:
- обойти классические защиты perimetr’а и почтовые фильтры, минуя фишинг;
- злоупотреблять доверием к легитимным каналам обновлений;
- долго сохранять присутствие в сети, маскируясь под обычный сетевой трафик;
- влиять как на офисные системы, так и на промышленные объекты, если те зависят от скомпрометированного ПО.
В результате подобные операции превращают инфраструктуру обновлений в критический элемент безопасности. Уязвимость роутера или слабый контроль над процессом обновления могут привести к долгосрочному незаметному компрометированию целой организации.
Как защититься от атак через перехват обновлений ПО
Защита от подобных кампаний требует сочетания сетевой гигиены, правильной настройки инфраструктуры и мониторинга аномалий. На практике организациям стоит обратить внимание на следующие меры:
- Защита маршрутизаторов и сетевых устройств: своевременное обновление прошивок, отключение ненужного удалённого администрирования, использование сложных уникальных паролей, замена устаревших моделей.
- Контроль DNS и трафика обновлений: мониторинг аномальных DNS-запросов, использование защищённых резолверов, валидация адресов и доменов, откуда осуществляется обновление критичных систем.
- Проверка целостности обновлений: проверка цифровых подписей, использование официальных репозиториев, ограничение источников обновлений по белым спискам (allowlist) на уровне фаерволов.
- Сетевой мониторинг и EDR: внедрение решений для обнаружения аномального поведения, запуска неизвестных бинарников и подозрительных соединений с внешней инфраструктурой.
- Безопасная разработка и supply-chain защита для вендоров: жёсткий контроль над цепочкой поставок ПО, аудиты инфраструктуры обновлений и процессов сборки.
Кампания PlushDaemon с использованием EdgeStepper и SlowStepper наглядно показывает, что периметр безопасности больше не ограничивается только серверами и рабочими станциями. Домашние и периферийные устройства, роутеры и механизмы обновления ПО становятся ключевыми точками атаки. Компании, активно полагающиеся на автоматические обновления, должны пересмотреть свои процессы и убедиться, что доверие к этим каналам подкреплено техническими и организационными мерами контроля. Инвестиции в защиту сетевой инфраструктуры и видимость над трафиком сегодня — один из наиболее эффективных шагов для снижения риска успешных кибершпионских операций подобного класса.
