Source:https://thehackernews.com/2025/11/edgestepper-implant-reroutes-dns.html
🛡 概要
中国系と目されるPlushDaemonが、Go製ネットワークバックドア「EdgeStepper」を用いてAdversary‑in‑the‑Middle(AitM)型の攻撃を実施している。特徴は、標的が接続する可能性の高いエッジ機器(例:ルータ)を侵害し、DNS問い合わせを攻撃者支配のノードへリダイレクトすることで、正規ソフトの更新通信を攻撃基盤へ迂回させる点にある。ハイジャックされた更新経路からはLittleDaemon(悪性DLL)→DaemonicLogistics(ダウンローダ)→SlowStepper(多機能バックドア)という連鎖的な侵入・展開が行われる。PlushDaemonは2018年頃から活動が確認され、米国、ニュージーランド、カンボジア、香港、台湾、韓国、中国本土など幅広い地域での被害が観測されている。
🔍 技術詳細
攻撃はまず、標的が利用する可能性のある境界側ネットワーク機器(ルータ等)を脆弱性の悪用や弱い認証情報の濫用によって侵害し、EdgeStepperを展開するところから始まる。EdgeStepperは内部に2つの主要構成要素を持つ。Distributorは、DNSノードとして用いられるドメイン test.dsc.wcsset[.]com の解決を行い、得たIPに基づき通信先を決定する。Rulerはiptablesを操作してIPパケットフィルタのルールを設定し、端末からのDNSトラフィックを外部の悪性DNSノードへ迂回させる。DNSノードは、問い合わせられたドメインがソフトウェア更新に関係するものかを判別し、該当する場合はハイジャックノードのIPを応答する。環境によってはDNSノードがそのままハイジャックノードを兼ね、自己のIPを返す場合も観測されている。
このDNSリダイレクトにより、特定のソフトウェア(例:Sogou Pinyinなど)の更新チャネルが攻撃者側に向けられ、正規更新に見せかけて悪性DLL(ファイル名例:popup_4.2.0.2246.dll、通称LittleDaemon)が配布される。LittleDaemonは攻撃ノードと通信し、環境にSlowStepperが存在しない場合はダウンローダのDaemonicLogisticsを取得・実行させる。DaemonicLogisticsはサーバからSlowStepper本体をダウンロードし起動する。SlowStepperは、システム情報収集、ファイル窃取、ブラウザ資格情報の抽出、各種メッセージングアプリからのデータ取得、自己アンインストールなど多岐にわたる機能を備える。通信経路の要所をAitMで押さえ、正規更新という信頼を逆手に取ることで、初期侵入から横展開までを静かに進められるのがこの手口の厄介な点である。なお、現時点で本事案に固有のCVSSスコアは公表されていない。
⚠ 影響
・正規アップデート経路の乗っ取りにより、署名やHTTPSを用いた一般的な配信でも迂回・悪用される恐れがある。
・ブラウザ資格情報や業務データの窃取により、追加の不正アクセスや機密漏えい、サプライチェーン先への波及が生じうる。
・境界機器が汚染されるため、内部端末を全台クリーン化しても再感染リスクが残存しやすい。
🛠 対策
・エッジ機器の即時点検:不要な管理インターフェースの無効化、WAN側管理の停止、最新ファーム適用、既定・弱い認証情報の排除、二要素認証導入、設定差分の継続監査、未知のiptablesルールや不審プロセスの確認。
・DNS防御の強化:社内リカーシブDNSでのDNSSEC検証、DoT/DoHでの信頼できるリゾルバ固定、RPZでtest.dsc.wcsset[.]com等のIOCをブロック、更新ドメインの許可リスト管理と応答先ASN検証。
・更新チャネルの堅牢化:ベンダ公開鍵での署名検証を必須化、証明書ピンニング(可能な範囲)やTLS検証失敗時の強制停止、オフライン配布や社内キャッシュでの改ざん検知、更新プロセスのファイル整合性監視。
・Egress制御:更新アプリの通信先をベンダのFQDN/ASNに限定、HTTPの直通信を禁止しHTTPSのみ許可、未知ドメインへのDNS解決/接続を検知。
・インシデント対応:境界機器のフォレンジックと再初期化、証跡保全、被疑端末のネットワーク分離、資格情報のローテーション。
📌 SOC視点
・DNSログ:更新ドメインの解決先が通常と異なるASNや地理に変化していないか、同一時刻に多数の端末が同一未知IPへ誘導されていないか。
・EDR/ホスト監視:Sysmon Event ID 1(更新プロセスから不審DLLの読込やrundll32実行)、ID 7(DLLロード:popup_4.2.0.2246.dll 等)、ID 3(未知の外部IPへの通信)、ID 11(更新ディレクトリへのDLL新規作成)。
・ネットワーク機器ログ:iptables/ACLの変更、再起動やコンフィグ書換え、未知ユーザのログイン。
・ハンティング観点:test.dsc.wcsset[.]com へのDNSクエリ/接続痕跡、更新クライアントの証明書検証失敗後の通信継続、短期間でのプロセスチェーン(アップデータ→DLL→ダウンローダ)。
📈 MITRE ATT&CK
・T1557 Adversary‑in‑the‑Middle:DNS応答を攻撃者ノードへ誘導し、更新トラフィックを乗っ取る。
・T1190 Exploit Public‑Facing Application:ルータ等の管理UIやサービスの脆弱性悪用による境界機器侵害。
・T1110 Brute Force / T1078 Valid Accounts:弱い認証情報の濫用による機器ログイン。
・T1562.004 Impair Defenses:Rulerがiptablesを操作しフィルタ/防御を変更。
・T1105 Ingress Tool Transfer:LittleDaemonやDaemonicLogistics、SlowStepperの段階的ダウンロード。
・T1082 System Information Discovery:SlowStepperによるシステム情報収集。
・T1555.003 Credentials from Web Browsers:ブラウザ資格情報の抽出。
🏢 組織規模別助言
・小規模(〜50名):ISPルータ含む全エッジ機器の初期化と最新化、管理の外出しを避け、マネージドDNS/EDRを導入。更新はベンダ署名確認を徹底。
・中規模(50〜500名):社内リゾルバのDNSSEC有効化、更新ドメインの許可リストとEgress制御、EDRでDLL生成/読込のルール化、境界機器の設定監査を自動化。
・大規模(500名以上):ゼロトラスト方針で更新フローの強制検証、RPZ/Threat Intel統合、サプライチェーンリスク管理(契約条項に更新の署名要件を明記)、ネットワーク分離とSOARでの自動隔離。
🔎 類似事例
・Evasive Pandaによるアップデート配信の乗っ取り型攻撃(AitM)。
・LuoYuのアップデートハイジャック手法。
・BlackTechやTheWizards APT、Blackwood、FontGoblinなどによるソフト更新機構の悪用報告。
・韓国VPNベンダIPanyのサプライチェーン侵害とSlowStepper配布事例。
注:本件に固有のCVEやCVSSは現時点で未公表。
🧭 次の一手
まず、境界機器の健全性監査(認証情報の変更、設定差分、未知ルールの除去)と、社内DNSのDNSSEC/RPZ導入を即日実施すること。そのうえで、更新ドメインの許可リスト化とEDR検知ルール(更新プロセスによる不審DLL生成・読込)を整備する。詳細手順は「DNSハイジャック検出ハンティング・プレイブック」と「エッジ機器緊急点検チェックリスト」を参照して段階的に展開してほしい。
