Nhóm đe dọa mạng có liên kết với Trung Quốc, được biết đến với tên PlushDaemon, đã sử dụng một phương pháp tấn công tinh vi để xâm nhập mạng trên nhiều khu vực từ năm 2018. Chiến lược chính của nhóm này là chặn các bản cập nhật phần mềm hợp pháp bằng cách triển khai một công cụ chuyên biệt có tên EdgeStepper. Công cụ này hoạt động như một cầu nối giữa máy tính của người dùng và các máy chủ độc hại.

Kỹ thuật này cho phép kẻ tấn công tiêm mã độc trực tiếp vào những gì người dùng tin là các bản cài đặt cập nhật xác thực từ các nhà cung cấp phần mềm đáng tin cậy. Chiến dịch của PlushDaemon đã nhắm mục tiêu vào các cá nhân và tổ chức tại Hoa Kỳ, Đài Loan, Trung Quốc, Hồng Kông, New Zealand và Campuchia. Nhóm này sử dụng nhiều vector tấn công khác nhau, bao gồm khai thác lỗ hổng phần mềm, thông tin đăng nhập thiết bị mạng yếu và các cuộc tấn công chuỗi cung ứng tinh vi.

Chiến Dịch của Nhóm Đe Dọa PlushDaemon và EdgeStepper

Trong một cuộc điều tra năm 2023, các nhà nghiên cứu đã phát hiện ra sự liên quan của nhóm PlushDaemon trong một cuộc tấn công chuỗi cung ứng lớn. Cuộc tấn công này đã ảnh hưởng đến một dịch vụ VPN của Hàn Quốc, thể hiện khả năng hoạt động quy mô lớn của họ.

Các nhà phân tích bảo mật của ESET đã xác định và kiểm tra mã độc EdgeStepper sau khi phát hiện một tệp nhị phân ELF trên VirusTotal. Tệp này chứa các chi tiết cơ sở hạ tầng được liên kết với các hoạt động của PlushDaemon. Các nhà nghiên cứu nhận thấy rằng công cụ này, được các nhà phát triển nội bộ đặt tên mã là dns_cheat_v2, là một thành phần quan trọng trong cơ sở hạ tầng tấn công của nhóm.

Cơ Chế Hoạt Động của EdgeStepper: Đánh Cắp DNS

Phân tích đã tiết lộ cách mã độc EdgeStepper hoạt động để chặn và chuyển hướng các truy vấn DNS. Điều này về cơ bản là chiếm quyền điều khiển quá trình cập nhật thông thường mà người dùng mong đợi từ phần mềm hợp pháp. Cuộc tấn công này thể hiện một quy trình lây nhiễm nhiều giai đoạn được thiết kế để né tránh các biện pháp phòng thủ bảo mật truyền thống.

Khi kẻ tấn công đã xâm nhập một thiết bị mạng như bộ định tuyến thông qua khai thác lỗ hổng hoặc thông tin đăng nhập yếu, EdgeStepper bắt đầu hoạt động bằng cách chặn lưu lượng truy cập DNS. Khi người dùng cố gắng cập nhật phần mềm như Sogou Pinyin hoặc các ứng dụng Trung Quốc tương tự, mã độc này sẽ chuyển hướng kết nối đến một máy chủ do kẻ tấn công kiểm soát.

Nút đánh chặn này sau đó hướng dẫn phần mềm hợp pháp tải xuống một tệp DLL độc hại thay vì bản cập nhật chính hãng. Đây là một điểm trọng yếu trong cuộc xâm nhập mạng của nhóm.

Phân Tích Kỹ Thuật Sâu về Mã Độc EdgeStepper

Nền tảng kỹ thuật cho hiệu quả của EdgeStepper nằm ở cách tiếp cận thao túng mạng tinh vi nhưng nguy hiểm của nó. Mã độc này được viết bằng ngôn ngữ lập trình Go, sử dụng framework GoFrame và được biên dịch cho bộ xử lý MIPS32. Nó bắt đầu hoạt động bằng cách đọc một tệp cấu hình được mã hóa có tên bioset.conf.

Quá Trình Giải Mã và Cấu Hình

Quá trình giải mã sử dụng mã hóa AES CBC với một khóa mặc định và vector khởi tạo (IV) được lấy từ chuỗi “I Love Go Frame”. Chuỗi này là một phần của triển khai tiêu chuẩn thư viện GoFrame. Sau khi được giải mã, cấu hình sẽ tiết lộ hai tham số quan trọng:

• toPort: Chỉ định cổng lắng nghe.
• host: Xác định tên miền của nút DNS độc hại.

Các thông số này đóng vai trò then chốt trong việc điều phối các hoạt động của mối đe dọa mạng này.

Các Thành Phần Chính của EdgeStepper: Distributor và Ruler

EdgeStepper sau đó khởi tạo hai hệ thống cốt lõi gọi là Distributor và Ruler. Thành phần Distributor giải quyết địa chỉ IP của nút DNS độc hại và điều phối luồng truy cập. Trong khi đó, hệ thống Ruler ban hành các lệnh iptables để chuyển hướng tất cả lưu lượng UDP trên cổng 53 đến cổng được chỉ định của EdgeStepper.

Mã độc này thực hiện việc chuyển hướng bằng cách sử dụng lệnh:

iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-port [value_from_toPort]

Lệnh này buộc tất cả các yêu cầu DNS từ các thiết bị trên mạng phải đi qua EdgeStepper trước khi đến các máy chủ DNS hợp pháp. Điều này tạo ra một vị trí man-in-the-middle (MITM) hoàn chỉnh, cho phép chặn và sửa đổi hoàn hảo các hướng dẫn cập nhật được gửi đến các ứng dụng phần mềm. Khả năng này chứng minh mức độ nguy hiểm của mối đe dọa mạng do PlushDaemon triển khai.

Tác Động của Cuộc Tấn Công MITM

Với vị trí MITM, PlushDaemon có thể kiểm soát hoàn toàn quá trình cập nhật phần mềm. Điều này không chỉ cho phép tiêm mã độc mà còn mở ra khả năng thu thập thông tin nhạy cảm hoặc thay đổi chức năng của các ứng dụng mục tiêu. Đây là một ví dụ điển hình về tấn công chuỗi cung ứng cấp cao, đặt ra mối đe dọa mạng đáng kể đối với các tổ chức và người dùng.