كشفت شركة ESET للأمن السيبراني عن برمجية خلفية جديدة تسمى EdgeStepper، تُستخدم في هجمات “الخصم في الوسط” (AitM). تعمل هذه البرمجية -المطورة بلغة Go- على إعادة توجيه جميع استعلامات DNS إلى عقدة خبيثة، مما يؤدي إلى تحويل حركة المرور الخاصة بالبنية التحتية الشرعية لتحديثات البرامج إلى بنية تحتية يتحكم فيها المهاجمون.
آلية الهجوم المعقدة
تبدأ الهجمات باختراق جهاز شبكة طرفي (مثل جهاز توجيه) إما باستغلال ثغرة أمنية أو melalui بيانات اعتماد ضعيفة. يتم بعد ذلك نشر EdgeStepper التي تعيد توجيه استعلامات DNS إلى عقدة DNS ضارة. تقوم هذه العقدة بالتحقق مما إذا كان النطاق في رسالة استعلام DNS مرتبطًا بتحديثات البرامج، وعندئذٍ ترد بعنوان IP الخاص بعقدة الاختطاف.
هيكلية البرمجية ومراحل الانتشار
تتكون البرمجية من جزأين رئيسيين:
-
وحدة الموزع (Distributor): تحل عنوان IP المرتبط بنطاق عقدة DNS
-
وحدة الحاكم (Ruler): مسؤولة عن تكوين قواعد مرشح حزم IP باستخدام iptables
تركز الهجمات على برامج صينية محددة مثل Sogou Pinyin، حيث يتم اختطاف قنوات التحديث الخاصة بها لتوصيل ملف DLL ضار باسم LittleDaemon.
سلسلة الانتشار متعددة المراحل
تعمل LittleDaemon كمرحلة أولى للهجوم، حيث تتصل بالخادم الضار لتحميل برنامج تنزيل إضافي يسمى DaemonicLogistics. يتمثل الغرض الرئيسي من DaemonicLogistics في تحميل البرنامج الخلفي SlowStepper وتنفيذه، والذي يدعم مجموعة واسعة من الميزات لجمع معلومات النظام والملفات وتسجيلات اعتماد المتصفح وبيانات التطبيقات.
