گروه هکری چینی PlushDaemon که از سال ۲۰۱۸ فعال است، کمپین جدیدی را با تمرکز بر ربودن ترافیک آپدیت نرمافزار (Update Hijacking) اجرا کرده و از یک ایمپلنت جدید بهنام EdgeStepper برای جایگزینی بستههای آپدیت سالم با بدافزار استفاده میکند.
بر اساس تحلیل شرکت ESET، مهاجمان ابتدا با سوءاستفاده از آسیبپذیریهای شناختهشده روترها یا پسورد ادمین ضعیف، کنترل دستگاه را بهدست میگیرند. سپس با نصب EdgeStepper، درخواستهای DNS مربوط به سرورهای آپدیت رسمی را به زیرساخت مخرب خود هدایت میکنند.
در ادامه، قربانی بهجای آپدیت واقعی، بدافزار LittleDaemon را دریافت میکند که نقش Downloader را دارد و در نهایت DaemonicLogistics و SlowStepper را روی سیستم بارگذاری میکند. SlowStepper قادر است:
جمعآوری اطلاعات دقیق سیستم
اجرای فایل و فرمان
Keylogging
استخراج Credential
سرقت دادههای مرورگر
و ابزارهای جاسوسی مبتنی بر Python را اجرا کند.
ESET تأکید میکند که این گروه قادر است زنجیره آپدیت نرمافزارهای بسیار گسترده از جمله Sogou Pinyin را ربوده و قربانیان را در هر نقطه دنیا هدف قرار دهد.
تحلیل و هشدار امنیتی (Vulnerbyte Advisory)
🔸 هر سازمانی که از روترهای قدیمی یا با رمز عبور پیشفرض استفاده میکند، عملاً در معرض این حملات است.
🔸 حمله روی کانال آپدیت نرمافزار اتفاق میافتد؛ یعنی حتی قربانی رفتار “سالم” انجام میدهد، ولی آلوده میشود.
🔸 امنیت DNS و اعتبارسنجی بستههای آپدیت (Code Signing Validation) اهمیت حیاتی دارد.
🔸 حملات مشابه در سالهای اخیر علیه ابزارهای ویپیان و نرمافزارهای چینی دیده شده و نشان میدهد مهاجم از Adversary-In-The-Middle پیشرفته استفاده میکند.
توصیههای امنیتی (Vulnerbyte Recommendations)
✔ بهروزرسانی روترها و حذف Firmwareهای قدیمی
✔ غیرفعالسازی DNS Relay روی روترهای آسیبپذیر
✔ اجباریسازی Code-Signing Validation برای نصب بروزرسانیها
✔ مانیتورینگ ترافیک DNS برای تشخیص IPهای ناشناخته
✔ بررسی IoCهای منتشرشده توسط ESET در این کمپین
