PlushDaemon’ın Tehdidi: EdgeStepper ile İnternetten Malware Yayma Yöntemi
Son yıllarda siber güvenlik alanında önemli gelişmeler yaşanıyor. Özellikle, PlushDaemon olarak bilinen tehdit aktörü, daha önce belgelenmemiş bir Go tabanlı ağ arka kapısı olan EdgeStepper ‘ı kullanarak etkileyici siber saldırılar gerçekleştirmektedir. Bu saldırılar, adversary-in-the-middle (AitM) teknikleri ile donatılmış ve mevcut altyapıyı hedef alarak veri sızdırma amacı taşımaktadır.
EdgeStepper’ın Çalışma Prensibi
EdgeStepper, tüm DNS sorgularını kötü niyetli bir hijacking node’una yönlendirerek, yazılım güncellemeleri için kullanılan meşru altyapıyı saldırganların kontrolündeki bir altyapıya dönüştürmektedir. ESET güvenlik araştırmacısı Facundo Muñoz, “Meydan okuma niteliğinde bir yöntemle, yazılım güncellemelerini hedef alarak saldırganlara geniş bir erişim sağlıyor,” diyerek bu süreci açıklamaktadır.
PlushDaemon’ın Hedefleri
2018 yılından beri aktif olduğu tespit edilen PlushDaemon, ABD, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan, Güney Kore ve Çin’in ana kara dahil birçok ülke ve kuruma saldırılar düzenlemiştir. Saldırganlar, özellikle bir Güney Kore sanal özel ağ (VPN) sağlayıcısı olan IPany ‘i hedef alarak, bu yapıyı kullanarak yüksek profilli şirketleri hedef almışlardır.
Bu tehdit aktörünün kurbanları arasında Pekin’deki bir üniversite, elektronik üretimi yapan bir Tayvan şirketi ve otomotiv sektöründe faaliyet gösteren bir firma bulunmaktadır. Ayrıca, daha önce Kamboçya’da iki kuruluşu hedef alarak eylemlerine devam etmektedir.
AitM Tekniği ve İlk Erişim Mekanizması
Bu tür saldırılar, genellikle bir ağ cihazının (örneğin, bir yönlendirici) ele geçirilmesiyle başlar. Saldırgandaki ilk erişim mekanizması, AitM zehirlemesi olarak bilinen bir yöntemle gerçekleştirilir. Son iki yıl içerisinde, Çin ile bağlantılı birçok gelişmiş sürekli tehdit (APT) grubunun bu teknikleri benimsediği gözlemlenmiştir.
EdgeStepper’ın DNS sorgularını kötü niyetli bir DNS node’una yönlendirmesi, güncelleme ile ilgili alan adlarını doğrulayıp yanıltıcı IP adresleriyle cevap vermesiyle gerçekleşir. Bazı durumlarda, hem DNS node’u hem de hijacking node’u aynı sunucularda yer alır. Bu durumda, sunucu DNS sorgularına kendi IP adresini yanıtlar.
Malware’ın Yapısı ve Fonksiyonları
EdgeStepper, iki ana bileşenden oluşmaktadır: Distributor modülü ve Ruler bileşeni. Distributor, bağlanılan DNS node’larının IP adresini çözerken, Ruler, IP paket filtreleme kurallarını yapılandırmakta kullanılır. Bu malware, özellikle Sogou Pinyin gibi Çin yazılımlarının güncelleme kanallarını ele geçirerek, saldırganın kontrolündeki bir sunucudan kötü niyetli bir DLL dosyası indirmektedir.
İlk aşamada, kötü niyetli LittleDaemon yüklenir. Bu yük, çok aşamalı bir ele geçirme işlemi gerçekleştirir ve eğer mevcut bir SlowStepper kurulumu yoksa, saldırganın sunucusundan yeni bir arka kapı indirir ve çalıştırır. Bu tür implantlar, PlushDaemon’a dünya genelindeki hedefleri tehlikeye atma yeteneği kazandırmaktadır.
Siber Güvenlikte Alınacak Önlemler
EdgeStepper gibi tehditlere karşı etkili bir siber güvenlik stratejisi oluşturmak kritik öneme sahiptir. İşletmelerin, ağlarını korumak için güvenlik açıklarını kapatmaları, güçlendirilmiş kimlik doğrulama yöntemleri uygulamaları ve bilgilendirme seminerleri ile personelini bu tür saldırılara karşı bilinçlendirmeleri önerilmektedir.
Sonuç olarak, PlushDaemon ve EdgeStepper gibi tehditler, giderek daha karmaşık hale geliyor. Bu nedenle, siber güvenlik önlemlerine yatırım yapmak ve proaktif bir yaklaşım benimsemek, iş geleceklerini güvence altına almak için hayati öneme sahiptir.
