Dragon Breath olarak bilinen tehdit aktörü, Gh0st RAT adındaki uzaktan erişim trojanının değişmiş bir varyantını dağıtmak için RONINGLOADER adlı çok aşamalı bir yükleyici kullanıldığı gözlemlenmiştir. Bu kampanya, özellikle Çince konuşan kullanıcıları hedef alarak Google Chrome ve Microsoft Teams gibi meşru uygulamaları taklit eden trojanize NSIS yükleyicileri kullanmaktadır.
RONINGLOADER’in Çalışma Mekanizması
Bu enfeksiyon zinciri, çeşitli kaçınma tekniklerini kullanarak, Çin pazarında yaygın olan son noktadaki güvenlik ürünlerini etkisiz hale getirmeye odaklanmıştır. Tedavi edilmiş sürücülerin kullanılması, özelleştirilmiş WDAC politikalarının uygulanması ve Microsoft Defender binary’sinin PPL (Korunan Süreç Işığı) istismarı yoluyla değiştirilmesi gibi yöntemleri içermektedir.
RONINGLOADER, kullanıcının güvenlik yazılımlarını geçici olarak devre dışı bırakmayı hedefler. Çince konuşan kullanıcılar üzerinde odaklanan Dragon Breath, günümüzde Miuuti Grubu olarak bilinen daha büyük bir tehdit aktörleri grubuna ilişkilendirilmiştir.
Kampanyanın Yapısı
En son belgelenen kampanya, güvenilir uygulamalar için kötü amaçlı NSIS yükleyicilerinin iki gömülü NSIS yükleyiciyle yola çıktığını göstermektedir. Bir yükleyici (letsvpnlatest.exe) meşru yazılımı kurarken, diğeri (Snieoatwtregoable.exe) saldırı zincirini gizlice başlatmakla yükümlüdür.
Gelişmiş Süreç Sonrası İşlemler
Bu süreçler, DLL ve şifrelenmiş bir dosya (tp.png) dağıtarak devam eder. DLL, şifrelenmiş dosyayı çözmek için kullanılırken, nesnelerin belleğe yüklenmesiyle devam eder.
- Antivirüs gibi kullanıcılandaki süreçleri durdurma
- Yüksek ayrıcalığa sahip sistem işlemleri içerisinde diğer yüklemeler yapmak
- Yanlışların giderilmesi için otomatik komut dosyaları çalıştırma
RONINGLOADER ayrıca, Qihoo 360 Total Security ile ilgili işlemleri bulmakta ve bunları devre dışı bırakmak için özel yöntemler kullanmaktadır.
Gizli Gelişmeler ve Kullanıcı Etkileri
Malware, kullanıcıdan gelen talepleri gizlemek için “regsvr32.exe” gibi meşru Windows bileşenlerini istismar etmektedir. Nihai hedef, kullanıcının sistemine derinlemesine erişmek ve kritik verileri ele geçirmektir. Gh0st RAT, uzaktan sunucularla iletişim kurarak, Windows Kayıt defterini yapılandırma, dosya indiren komutları çalıştırma ve klavye dinleme gibi işlevsellik sunmaktadır.
Ticari Taktikler ve Hedefleme
Palo Alto Networks’in raporuna göre, GH0st RAT’ı iletmek için büyük ölçekli marka taklit kampanyaları ortaya çıkmıştır. Bu kampanyalardan biri olan Kampanya Trio, COVID-19 döneminde 2.000’den fazla alan adı üzerinden yürütülmüştür. Bu tür kampanyalar, hem basit yükleyicilerden hem de karmaşık çok aşamalı enfeksiyon zincirlerine geçiş yapmaktadır.
Kampanya Chorus olarak bilinen ikinci aşama ise daha fazla ana uygulamayı taklit etmekte ve kullanıcıları daha geniş bir kitleye ulaşmayı amaçlamaktadır. Mevcut güvenlik engellerini aşmayı hedefleyen bu tür operasyonlar, piyasa içerisinde dikkatli bir şekilde yürütülmektedir.
Sonuç olarak, Dragon Breath grubunun faaliyetleri, siber güvenlikte ciddi bir tehdit oluşturmakta ve bireylerin ve şirketlerin çevrimiçi güvenliğine büyük bir tehlike arz etmektedir. Güvenlik önlemlerini artırmak ve bilinçli olmak, bu tür tehditlerin etkilerini azaltmada kritik öneme sahiptir.
