Uočeno je da haker poznat kao Dragon Breath dodaje nove slojeve složenosti svojim napadima usvajanjem novog mehanizma lateralnog učitavanja DLL-a.
“Napad je baziran na klasičnom napadu sa lateralnim učitavanjem, koji se sastoji od čiste aplikacije, malicioznog učitavača i šifrovanog tereta, s različitim modifikacijama koje su napravljene na ovim komponentama tokom vremena” rekao je Sophos istraživač Gabor Szappanos.
“Najnovije kampanje dodaju zaokret u kojem prva faza čiste aplikacije ‘sa strane’ učitava drugu čistu aplikaciju i automatski je izvršava. Druga čista aplikacija lateralno učitava DLL malicioznog učitavača. Nakon toga, maliciozni DLL učitavač izvršava konačni payload.”
Operaciju Dragon Breath, koja se takođe prati pod nazivima APT-Q-27 i Golden Eye, QiAnXin je prvi dokumentovao 2020. godine, sa detaljima o kampanji koja je osmišljena da prevari korisnike da preuzmu trojanizovani Windows instalater za Telegram.
Naknadna kampanja koju je otkrila kineska kompanija za kibernetičku bezbjednost u maju 2022. godine istakla je kontinuisanu upotrebu Telegram instalatera kao mamca za postavljanje dodatnih payload-a kao što je gh0st RAT.
Dragon Breath je takođe dio većeg grupe pod nazivom Miuuti Group, a protivnik je okarakterisan kao grupa sa kineskog govornog područja koja cilja na industriju internetskih igara i kockanja, pridružujući se drugim kineskim klasterima aktivnosti poput Dragon Castling, Dragon Dance, i Earth Berberoka.
Dvostruka strategija lateralnog učitavanja DLL-a, prema Sophos-u, korištena je u napadima usmjerenim na korisnike na Filipinima, Japanu, Tajvanu, Singapuru, Hong Kongu i Kini. Ovi pokušaji upada na kraju su bili neuspješni.
Početni vektor je lažna web stranica na kojoj se nalazi instalater za Telegram koji, kada se otvori, kreira prečicu na radnoj površini koja je dizajnirana za učitavanje malicioznih komponenti iza kulisa nakon pokretanja, a istovremeno prikazuje žrtvi korisnički interfejs aplikacije Telegram.
Štoviše, vjeruje se da je protivnik stvorio više varijacija šeme u kojoj se neovlašteni instalateri za druge aplikacije, kao što su LetsVPN i WhatsApp, koriste za pokretanje lanca napada.
Sljedeća faza uključuje korištenje druge čiste aplikacije kao međuproizvoda kako bi se izbjeglo otkrivanje i učitavanje konačnog payload-a putem malicioznog DLL-a.
Payload funkcioniše kao backdoor sposoban za preuzimanje i izvršavanje datoteka, brisanje dnevnika događaja, izdvajanje i postavljanje sadržaja međuspremnika, pokretanje proizvoljnih naredbi i krađu kriptovalute iz MetaMask ekstenzije novčanika za Google Chrome.
“DLL sideloading, prvi put identifikovan u Windows proizvodima 2010. godine, ali preovlađujući na više platformi, i dalje je efikasna i privlačna taktika za hakere” rekao je Szappanos.
“Ova tehnika dvostrukog čišćenja aplikacije koju koristi Dragon Breath grupa, a cilja na korisnički sektor, online kockanje, koji je tradicionalno bio manje istražen od strane sigurnosnih istraživača, predstavlja kontinuiranu vitalnost ovog pristupa.”
Izvor: The Hacker News
