olarak bilinen gelişmiş bir kalıcı tehdit (APT) aktörüdür. Ejderha nefesi bir roman benimseyerek saldırılarına yeni karmaşıklık katmanları eklediği gözlemlendi. DLL yandan yükleme mekanizma.
Sophos araştırmacısı Gabor Szappanos, “Saldırı, temiz bir uygulama, kötü amaçlı bir yükleyici ve şifrelenmiş bir yükten oluşan ve bu bileşenlerde zaman içinde çeşitli değişiklikler yapılan klasik bir yandan yükleme saldırısına dayanıyor.” söz konusu.
“En son kampanyalar, birinci aşama temiz uygulamanın ‘tarafında’ ikinci bir temiz uygulamayı yükleyip otomatik olarak çalıştırdığı bir değişiklik ekliyor. İkinci temiz uygulama, kötü amaçlı yükleyici DLL’sini yandan yüklüyor. Bundan sonra, kötü amaçlı yükleyici DLL yürütülüyor son yük.”
APT-Q-27 ve Golden Eye adlarıyla da takip edilen Dragon Breath Operasyonu, Birinci belgelenmiş 2020’de QiAnXin tarafından, kullanıcıları Telegram için truva atına bulaştırılmış bir Windows yükleyicisini indirmeleri için kandırmak üzere tasarlanmış bir su birikintisi kampanyasını detaylandırıyor.
A sonraki kampanya Çinli siber güvenlik şirketi tarafından Mayıs 2022’de detaylandırılan rapor, Telegram yükleyicilerinin gh0st RAT gibi ek yükleri dağıtmak için bir yem olarak kullanılmaya devam ettiğini vurguladı.
Dragon Breath’in ayrıca Miuuti Group adlı daha büyük bir kuruluşun parçası olduğu söyleniyor ve rakip, çevrimiçi oyun ve kumar endüstrilerini hedefleyen “Çince konuşan” bir varlık olarak nitelendiriliyor ve Dragon Castling gibi diğer Çin etkinlik kümelerinin beğenilerine katılıyor. Ejderha dansıve Toprak Berberoka.
Sophos’a göre çift dipli DLL yandan yükleme stratejisi Filipinler, Japonya, Tayvan, Singapur, Hong Kong ve Çin’deki kullanıcıları hedef alan saldırılarda kullanıldı. Bu izinsiz giriş girişimleri nihayetinde başarısız oldu.
İlk vektör, açıldığında kötü amaçlı bileşenleri arka planda yüklemek için tasarlanmış bir masaüstü kısayolu oluşturan ve aynı zamanda kurbana Telegram uygulaması kullanıcı arayüzünü gösteren bir Telegram yükleyicisi barındıran sahte bir web sitesidir.
Dahası, saldırganın, saldırı zincirini başlatmak için LetsVPN ve WhatsApp gibi diğer uygulamalar için kurcalanmış yükleyicilerin kullanıldığı şemanın birden çok varyasyonunu oluşturduğuna inanılıyor.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Bir sonraki aşama, tespit edilmekten kaçınmak ve son yükü kötü amaçlı bir DLL aracılığıyla yüklemek için ikinci bir temiz uygulamanın aracı olarak kullanılmasını içerir.
Yük, dosyaları indirme ve yürütme, olay günlüklerini temizleme, pano içeriğini çıkarma ve ayarlama, keyfi komutları çalıştırma ve Google Chrome için MetaMask cüzdan uzantısından kripto para birimini çalma yeteneğine sahip bir arka kapı işlevi görür.
Szappanos, “İlk olarak 2010 yılında Windows ürünlerinde tanımlanan, ancak birden çok platformda yaygın olan DLL yandan yükleme, tehdit aktörleri için etkili ve çekici bir taktik olmaya devam ediyor” dedi.
“Geleneksel olarak güvenlik araştırmacıları tarafından daha az incelenen bir kullanıcı sektörünü (çevrimiçi kumar) hedefleyen Dragon Breath grubu tarafından kullanılan bu çift temizlemeli uygulama tekniği, bu yaklaşımın devam eden canlılığını temsil ediyor.”
