EdgeStepper Implant Reroutes DNS Queries to Deploy Malware via Hijacked Software Updates

EdgeStepper : Le Tueur Silencieux des Mises à Jour Logicielles

Une nouvelle menace informatique, baptisée EdgeStepper, a été identifiée. Développée en langage Go, elle permet des attaques de type “adversaire en position intermédiaire” (AitM) en détournant les requêtes DNS.

Cette technique redirige le trafic légitime des mises à jour logicielles vers des infrastructures contrôlées par les attaquants. L’acteur malveillant derrière cette menace, identifié comme PlushDaemon, est actif depuis au moins 2018 et est suspecté d’être lié à la Chine. Ses cibles se trouvent dans des pays variés tels que les États-Unis, la Nouvelle-Zélande, la Cambodge, Hong Kong, Taïwan, la Corée du Sud et la Chine continentale.

Les attaques visent des organisations de divers secteurs, incluant des entreprises de semi-conducteurs, des sociétés de développement logiciel, des universités, et des entreprises dans les domaines de l’électronique, de l’automobile et de la fabrication. Les mécanismes d’accès initiaux privilégiés par PlushDaemon incluent le détournement des mises à jour logicielles, une tactique de plus en plus adoptée par les groupes APT affiliés à la Chine.

Points Clés :

• EdgeStepper : Un implant réseau en Go utilisé pour des attaques AitM.
• PlushDaemon : Acteur malveillant suspecté d’être lié à la Chine, actif depuis 2018.
• Détournement des Mises à Jour Logicielles : Méthode principale d’accès initial et de mouvement latéral.
• Attaques AitM : Exploitation des requêtes DNS pour rediriger le trafic.

Vulnérabilités et Mécanismes :

• Compromission des Périphériques Réseau : L’attaque débute par la compromission d’un périphérique réseau de périphérie (routeur) via l’exploitation d’une faille logicielle ou de faibles identifiants.
• Détournement des Requêtes DNS : EdgeStepper redirige toutes les requêtes DNS vers un nœud malveillant qui intercepte les requêtes liées aux mises à jour logicielles.
• Délivrance de Malware : Les mises à jour logicielles détournées servent à délivrer des charges utiles malveillantes comme le DLL “LittleDaemon” ou le backdoor “SlowStepper”.
• Fonctionnalités de SlowStepper : Collecte d’informations système, de fichiers, d’identifiants de navigateur, d’extraction de données d’applications de messagerie, et auto-désinstallation.

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, les implications suggèrent la nécessité de :

• Sécuriser les Périphériques Réseau : Mettre en place des politiques de mots de passe robustes, appliquer les correctifs de sécurité sur les routeurs et autres équipements réseau.
• Surveiller le Trafic DNS : Mettre en place une surveillance accrue du trafic DNS pour détecter toute activité suspecte ou redirections inhabituelles.
• Vérifier l’Intégrité des Mises à Jour : Mettre en place des mécanismes pour vérifier l’authenticité et l’intégrité des mises à jour logicielles avant leur installation.
• Renforcer la Sécurité des Endpoints : Utiliser des solutions de sécurité avancées sur les postes de travail et serveurs pour détecter et bloquer les malwares connus et inconnus.

Source