PlushDaemon: Yazılım Güncellemelerini Ele Geçiren Tehdit
Son yıllarda siber güvenlik alanında dikkat çeken en büyük tehditlerden biri, Çin ile bağlantılı bir hacker grubu olan PlushDaemon’dır. Bu grup, yazılım güncellemelerini ele geçirerek EdgeStepper adını verdikleri yeni bir implant aracılığıyla siber casusluk faaliyetleri yürütmektedir. 2018 yılından bu yana, PlushDaemon hackerları ABD, Çin, Tayvan, Hong Kong, Güney Kore ve Yeni Zelanda’daki bireyler ve kurumlar üzerinde özelleştirilmiş kötü amaçlı yazılımlar kullanarak saldırılar düzenlemektedir.
Tehdit Aktörü ve Hedefler
PlushDaemon, birçok sektörle birlikte elektronik üreticileri, üniversiteler ve Kamboçya’daki Japon otomotiv fabrikaları gibi çeşitli hedeflere sızmıştır. ESET’in telemetri verileri, bu gruptan gelen tehditlerin 2019’dan beri kötü amaçlı güncellemeler aracılığıyla hedef ağlara girdiğini göstermektedir. Özellikle SlowStepper arka kapısı gibi özel kötü amaçlı yazılımlar kullanarak siber saldırılarını genişleten bu grup, ciddi çapta veri ihlalleri gerçekleştirmiştir.
Saldırı Zinciri
PlushDaemon’ın saldırı zinciri, kurbanların yönlendirildiği zayıf yönlü yönlendiricilerin ele geçirilmesiyle başlar. Araştırmalara göre, saldırganlar bilinen zayıflıkları veya zayıf yönetici şifrelerini kullanarak sistemlere sızmakta ve EdgeStepper implantını kurmaktadır. Bu implant sayesinde, yazılım güncelleme trafiği kendi altyapılarına yönlendirilir.
DNS Sorgularının Yönlendirilmesi
EdgeStepper, yazılım güncellemelerinin tesliminde kullanılan bir domaine ait DNS sorgularını ele geçirir ve onları kötü amaçlı bir DNS düğümüne yönlendirir. Kurbanlar yazılımlarını güncellemeye çalıştıklarında, aslında ‘popup_4.2.0.2246.dll’ adı verilen bir DLL dosyası olarak gizlenmiş LittleDaemon kötü amaçlı yazılımcısını indirirler.
LittleDaemon ve DaemonicLogistics
LittleDaemon, kurbanın sistemine başka bir kötü amaçlı yazılım olan DaemonicLogistics’ı yükler. Bu yazılım, bellekte deşifre edilip çalıştırılarak PlushDaemon’ın imza arka kapısı olan SlowStepper’ı getirir. SlowStepper, daha önce Güney Kore’deki IPany VPN ürününün kullanıcılarına yönelik saldırılarda belgelenmiştir. Bu tür saldırılarda, kullanıcılar resmi web sitesinden trojanlı bir kurulum dosyası indirerek mağdur olmuşlardır.
SlowStepper’ın Özellikleri
SlowStepper kötü amaçlı yazılımı, saldırganların sistem bilgilerini toplamasına, detaylı dosya işlemleri yürütmesine ve Python tabanlı casus araçlarını çalıştırmasına olanak tanır. Bu araçlar sayesinde kullanıcıların tarayıcılarından veri çalmak, tuş vuruşlarını izlemek ve kimlik bilgilerini toplamak mümkündür.
Sonuç
PlushDaemon gibi grupların hızla gelişen siber tehditlere karşı koyabilmek için, şirketlerin ve bireylerin zayıf noktalarına dikkat etmesi ve güçlü bir siber güvenlik önlemleri almaları önemlidir. Yazılım güncellemeleri gibi temel işlevlerin bile hedef alınabildiği unutulmamalıdır; bu nedenle, güvenlik yazılımlarının güncel tutulması ve dikkatli bir şekilde incelenmesi gerekmektedir. Siber saldırılara karşı önceden bilinçlenmek, olası kayıpları minimize etmek açısından büyük önem taşımaktadır.
