Dragon Breath sử dụng RONINGLOADER vô hiệu hóa bảo mật và triển khai Gh0st RAT

[Starlink]

Kẻ tấn công có tên Dragon Breath đã bị phát hiện sử dụng trình tải nhiều giai đoạn có tên mã là RONINGLOADER để phát tán một biến thể đã được sửa đổi của trojan truy cập từ xa có tên là Gh0st RAT.

Theo Elastic Security Labs, chiến dịch này chủ yếu nhắm vào người dùng nói tiếng Trung Quốc, sử dụng trình cài đặt NSIS đã bị trojan hóa ngụy trang thành phần mềm hợp pháp như Google Chrome và Microsoft Teams.

"Chuỗi lây nhiễm sử dụng cơ chế phân phối nhiều giai đoạn, tận dụng nhiều kỹ thuật né tránh khác nhau, với nhiều biện pháp dự phòng nhằm vô hiệu hóa các sản phẩm bảo mật điểm cuối phổ biến tại thị trường Trung Quốc", các nhà nghiên cứu bảo mật Jia Yu Chan và Salim Bitam cho biết. "Những biện pháp này bao gồm việc sử dụng trình điều khiển được ký hợp lệ, triển khai các chính sách WDAC tùy chỉnh và can thiệp vào tệp nhị phân Microsoft Defender thông qua việc lạm dụng PPL [Protected Process Light]."

Dragon Breath, còn được gọi là APT-Q-27 và Golden Eye, trước đó đã được Sophos nêu bật vào tháng 5 năm 2023 liên quan đến một chiến dịch sử dụng kỹ thuật gọi là double-dip DLL side-loading trong các cuộc tấn công nhắm vào người dùng ở Philippines, Nhật Bản, Đài Loan, Singapore, Hồng Kông và Trung Quốc.

Nhóm tin tặc này được đánh giá là hoạt động ít nhất từ năm 2020, có liên quan đến một tổ chức nói tiếng Trung Quốc lớn hơn được theo dõi là Miuuti Group, nổi tiếng với việc tấn công các ngành công nghiệp trò chơi và cờ bạc trực tuyến.

Trong chiến dịch mới nhất được Elastic Security Labs ghi nhận, các trình cài đặt NSIS độc hại cho các ứng dụng đáng tin cậy đóng vai trò là bệ phóng cho hai trình cài đặt NSIS nhúng khác, một trong số đó ("letsvpnlatest.exe") là vô hại và cài đặt phần mềm hợp pháp. Tệp nhị phân NSIS thứ hai ("Snieoatwtregoable.exe") chịu trách nhiệm kích hoạt chuỗi tấn công một cách bí mật.

Điều này bao gồm việc cung cấp một DLL và một tệp được mã hóa ("tp.png"), trong đó DLL được dùng để đọc nội dung của hình ảnh PNG giả định và trích xuất mã shell được thiết kế để khởi chạy một tệp nhị phân khác trong bộ nhớ.

RONINGLOADER, ngoài việc cố gắng loại bỏ bất kỳ hook nào của userland bằng cách tải " ntdll.dll " mới, còn cố gắng nâng cao đặc quyền của mình bằng cách sử dụng lệnh runas và quét danh sách các tiến trình đang chạy để tìm các giải pháp liên quan đến phần mềm diệt vi-rút được mã hóa cứng, chẳng hạn như Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager và Qihoo 360 Total Security.

Sau đó, phần mềm độc hại sẽ tiến hành chấm dứt các tiến trình đã xác định đó. Trong trường hợp tiến trình đã xác định được liên kết với Qihoo 360 Total Security (ví dụ: "360tray.exe", "360Safe.exe" hoặc "ZhuDongFangYu.exe"), nó sẽ áp dụng một cách tiếp cận khác. Bước này bao gồm chuỗi hành động sau:

    Chặn mọi giao tiếp mạng bằng cách thay đổi tường lửa
    Chèn shellcode vào tiến trình (vssvc.exe) được liên kết với dịch vụ Volume Shadow Copy (VSS), nhưng không phải trước khi cấp cho chính nó mã thông báo SeDebugPrivilege
    Khởi động dịch vụ VSS và lấy ID tiến trình của nó
    Chèn shellcode vào quy trình dịch vụ VSS bằng kỹ thuật gọi là PoolParty
    Tải và sử dụng trình điều khiển đã ký có tên "ollama.sys" để chấm dứt ba tiến trình bằng dịch vụ tạm thời có tên "xererre1"
    Khôi phục cài đặt tường lửa

Đối với các quy trình bảo mật khác, trình tải sẽ ghi trực tiếp trình điều khiển vào đĩa và tạo một dịch vụ tạm thời có tên là "ollama" để tải trình điều khiển, thực hiện chấm dứt quy trình, dừng và xóa dịch vụ.

Sau khi tất cả các quy trình bảo mật đã bị vô hiệu hóa trên máy chủ bị nhiễm, RONINGLOADER sẽ chạy các tập lệnh hàng loạt để bỏ qua Kiểm soát tài khoản người dùng (UAC) và tạo các quy tắc tường lửa để chặn các kết nối đến và đi liên quan đến phần mềm bảo mật Qihoo 360.

Phần mềm độc hại này cũng đã được phát hiện sử dụng hai kỹ thuật được nhà nghiên cứu bảo mật Zero Salarium ghi nhận vào đầu năm nay, đó là lợi dụng PPL và hệ thống Báo cáo Lỗi Windows ("WerFaultSecure.exe") (hay còn gọi là EDR-Freeze ) để vô hiệu hóa Microsoft Defender Antivirus. Hơn nữa, nó còn nhắm mục tiêu vào Windows Defender Application Control (WDAC) bằng cách viết một chính sách độc hại chặn rõ ràng các nhà cung cấp bảo mật Trung Quốc là Qihoo 360 Total Security và Huorong Security.

Mục tiêu cuối cùng của trình tải là đưa một DLL độc hại vào "regsvr32.exe", một tệp nhị phân Windows hợp pháp, để che giấu hoạt động của nó và khởi chạy một tải trọng giai đoạn tiếp theo vào một tiến trình hệ thống hợp pháp, có đặc quyền cao khác như "TrustedInstaller.exe" hoặc "elevation_service.exe". Phần mềm độc hại cuối cùng được triển khai là phiên bản đã sửa đổi của Gh0st RAT.

Trojan này được thiết kế để giao tiếp với máy chủ từ xa nhằm tìm kiếm các lệnh bổ sung cho phép nó cấu hình khóa Windows Registry, xóa nhật ký sự kiện Windows, tải xuống và thực thi các tệp từ URL được cung cấp, thay đổi dữ liệu clipboard, chạy lệnh thông qua "cmd.exe", chèn shellcode vào "svchost.exe" và thực thi các payload được thả vào ổ đĩa. Biến thể này cũng triển khai một mô-đun ghi lại các lần nhấn phím, nội dung clipboard và tiêu đề cửa sổ nền trước.

Các chiến dịch mạo danh thương hiệu nhắm vào người nói tiếng Trung Quốc với Gh0st RAT.

Tiết lộ này được đưa ra sau khi Đơn vị 42 của Palo Alto Networks cho biết họ đã xác định được hai chiến dịch phần mềm độc hại có liên quan đến nhau, sử dụng "mạo danh thương hiệu quy mô lớn" để phát tán Gh0st RAT đến người dùng nói tiếng Trung Quốc. Hoạt động này chưa được xác định là do bất kỳ tác nhân hay nhóm đe dọa nào đã biết.

Trong khi chiến dịch đầu tiên – có tên Campaign Trio – diễn ra từ tháng 2 đến tháng 3 năm 2025 bằng cách bắt chước i4tools, Youdao và DeepSeek trên hơn 2.000 tên miền, chiến dịch thứ hai, bị phát hiện vào tháng 5 năm 2025, được cho là tinh vi hơn, mạo danh hơn 40 ứng dụng, bao gồm QQ Music và trình duyệt Sogou. Làn sóng thứ hai có tên mã là Campaign Chorus.

Các nhà nghiên cứu bảo mật Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed và Reethika Ramesh cho biết: "Từ chiến dịch đầu tiên đến chiến dịch thứ hai, kẻ thù đã phát triển từ những trình thả đơn giản đến các chuỗi lây nhiễm phức tạp, nhiều giai đoạn, sử dụng phần mềm hợp pháp đã ký để vượt qua các biện pháp phòng thủ hiện đại".

Các tên miền này được phát hiện lưu trữ các tệp ZIP chứa trình cài đặt trojan, cuối cùng mở đường cho việc triển khai Gh0st RAT. Tuy nhiên, chiến dịch thứ hai không chỉ lợi dụng nhiều chương trình phần mềm hơn để thu hút người dùng nói tiếng Trung Quốc, mà còn sử dụng một chuỗi lây nhiễm "phức tạp và khó nắm bắt" bằng cách sử dụng các tên miền chuyển hướng trung gian để lấy các tệp ZIP từ các thùng dịch vụ đám mây công cộng.

Bằng cách này, phương pháp có thể vượt qua các bộ lọc mạng có khả năng chặn lưu lượng truy cập từ các miền không xác định, chưa kể đến khả năng phục hồi hoạt động của tác nhân đe dọa. Trong trường hợp này, trình cài đặt MSI cũng chạy một tập lệnh Visual Basic nhúng chịu trách nhiệm giải mã và khởi chạy payload cuối cùng bằng cách tải DLL bên ngoài.

"Việc vận hành song song cả cơ sở hạ tầng cũ và mới thông qua hoạt động liên tục cho thấy một hoạt động không chỉ đơn thuần là phát triển mà còn bao gồm nhiều cơ sở hạ tầng và bộ công cụ riêng biệt cùng lúc", các nhà nghiên cứu cho biết. "Điều này có thể chỉ ra việc thử nghiệm A/B các TTP, nhắm mục tiêu vào các nhóm nạn nhân khác nhau với các mức độ phức tạp khác nhau, hoặc đơn giản là một chiến lược tiết kiệm chi phí bằng cách tiếp tục tận dụng các tài sản cũ miễn là chúng vẫn còn hiệu quả."