複数ライセンス割引見積
脅威データベース マルウェア EdgeStepper バックドア

EdgeStepper バックドア

マルウェア, 高度な持続的脅威 (APT), バックドアMezoまで
翻訳内容:

中国と連携する脅威アクター「PlushDaemon」が、新たに発見されたGo言語ベースのネットワークバックドア「EdgeStepper」に関与していることが判明しました。これは、中間者攻撃(AitM)を支援するために設計されたツールです。このグループは、DNSレベルでネットワークトラフィックを操作することで、複数の地域にまたがる標的型侵入キャンペーンのためにデータフローを傍受・リダイレクトする能力を拡大しています。

EdgeStepper: 悪意のあるインフラストラクチャへのトラフィックのリダイレクト

EdgeStepperはネットワークレベルのハイジャックメカニズムとして機能します。展開されると、すべてのDNSリクエストを外部の悪意のあるノードにリダイレクトします。この操作により、正規のソフトウェア更新インフラストラクチャへのトラフィックが、攻撃者の制御下にあるシステムに転送されます。

このツールは内部的に2つの主要モジュールを介して動作します。ディストリビューターは悪意のあるDNSノードのアドレス(例:test.dsc.wcsset.com)を解決し、ルーラーはiptablesを介してパケットフィルタリングルールを設定し、リダイレクトを強制します。場合によっては、DNSノードとハイジャックノードが同一であることもあり、その場合、スプーフィングプロセス中にDNSサービスが自身のIPアドレスを返すことがあります。

長期にわたる作戦と世界的な標的

PlushDaemonは少なくとも2018年から活動しており、米国、ニュージーランド、カンボジア、香港、台湾、韓国、中国本土の組織を標的としています。その活動は、2025年1月に韓国のVPNプロバイダーIPanyが関与したサプライチェーン侵害の調査中に初めて正式に報告されました。このインシデントにより、攻撃者が半導体企業と正体不明のソフトウェア開発会社の両方に対して多機能インプラントSlowStepperを展開した方法が明らかになりました。

その後の調査で特定された追加の被害者には、北京の大学、台湾の電子機器メーカー、自動車メーカー、日本の製造企業の地域支社などが含まれています。アナリストは2025年にカンボジアでもさらなる活動を記録しており、自動車業界と日本のメーカー関連の2つの組織がSlowStepperの標的となりました。

AitM ポイズニング: PlushDaemon の主な侵入戦略

このグループは、初期侵入手法としてAitMポイズニングを多用しており、これはLuoYu、Evasive Panda、BlackTech、TheWizards APT、Blackwood、FontGoblinといった中国系APTクラスターでもますます広まっている傾向です。PlushDaemonは、被害者が接続する際に経由する可能性のあるエッジネットワークデバイスを侵害することから攻撃チェーンを開始します。この侵害は、通常、パッチ未適用の脆弱性や脆弱な認証に起因します。

デバイスが制御下に置かれると、DNSトラフィックを操作するためにEdgeStepperがインストールされます。悪意のあるDNSノードは受信リクエストを評価し、ソフトウェアアップデートに関連付けられたドメインを検出すると、ハイジャックノードのIPアドレスで応答します。この設定により、すぐに疑惑を抱かせることなく、悪意のあるペイロードを配信することが可能になります。

ハイジャックされた更新チャネルとデプロイメントチェーン

PlushDaemonのキャンペーンは、Sogou Pinyinを含む複数の中国語アプリケーションで使用されている更新メカニズムを特に調査し、正規の更新トラフィックをリダイレクトします。この操作を通じて、攻撃者はLittleDaemon(popup_4.2.0.2246.dll)という悪意のあるDLLを配布します。これは第一段階のインプラントとして機能します。システムがSlowStepperバックドアをまだホストしていない場合、LittleDaemonは攻撃者のノードに接続し、DaemonicLogisticsというダウンローダーを取得します。

DaemonicLogisticsの役割は単純明快です。SlowStepperをダウンロードして実行することです。SlowStepperはアクティブになると、システム詳細情報の収集、ファイルの取得、ブラウザの認証情報の抽出、複数のメッセージングアプリケーションからのデータの取得、そして必要に応じて自身の削除など、幅広い機能を実行します。

協調インプラントによる機能拡張

EdgeStepper、LittleDaemon、DaemonicLogistics、SlowStepperの機能を組み合わせることで、PlushDaemonは世界中の組織に侵入できる包括的なツールセットを装備します。これらのツールを連携して使用することで、グループは永続的なアクセス、データ窃取能力、そして長期的な地域横断的な活動のための柔軟なインフラストラクチャを獲得します。

主な観察事項

PlushDaemonの活動には、いくつかの一貫した特徴が見られます。このグループは、最初の足掛かりを得るための手段として、中間者攻撃(AIM)ポイズニングを多用し、ネットワークエッジでトラフィックを傍受・リダイレクトします。標的が侵害されると、脅威アクターは侵入後の主要なインプラントとしてSlowStepperを利用し、その広範なデータ収集およびシステム偵察機能を活用します。このワークフローの有効性は、EdgeStepperのDNS応答操作能力によってさらに強化されます。これにより、攻撃者は正規のソフトウェア更新トラフィックを密かに自組織のインフラに誘導することができます。

トレンド

Pexornero.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
オンラインで安全を確保するには、常に注意を払う必要があります。特に、訪問者を欺くような巧妙な手法を用いる見慣れないサイトに遭遇した場合はなおさらです。そのような脅威の一つが、Pexornero.co.in と呼ばれる不正なウェブページです。これは、ユーザーを欺き、侵入的で潜在的に危険なコンテンツにさらすように作られたプラットフォームです。 一見無害なページの裏に隠された罠 Pexornero...

Wholefreshstories.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
信頼できない Web サイトの包括的な調査中に、研究者は不正な Web ページ Wholefreshstories.com を発見しました。この特定の欺瞞的なページは、その欺瞞的な戦術に誘惑される可能性のある無防備なユーザーにブラウザ通知スパムを配信するために戦略的に作成されています。さらに、不正ページは訪問者を他のさまざまな Web サイトにリダイレクトする可能性があり、これらの Web ...

TAMECATバックドア

マルウェア, 高度な持続的脅威 (APT), バックドア
イランの国家系組織APT42に関連するスパイ活動の波が表面化しており、アナリストはイスラム革命防衛隊(IRGC)の利益に関係する個人や組織に対する集中的な攻撃を観測しています。2025年9月初旬に検知され、「SpearSpecter」というコードネームが付けられたこの攻撃は、ソーシャルエンジニアリングと、情報収集を目的としたカスタマイズされたマルウェア展開を巧みに組み合わせたものです。 拡大...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
48,833
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,615
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,162
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...