DragonBreath(APT-Q-27)として知られる高度なサイバースパイ集団は、DLLサイドローディングとコード注入などの高度な回避技術を使用して従来のセキュリティディフェンスをバイパスする新しいRoningLoaderマルウェアキャンペーンにリンクされています。
少なくとも2022年から活動しているDragonBreathは、その能力を着実に進化させてきました。以前のキャンペーンはQianXinとSophosによって文書化されていますが、最近の活動はステルスと永続性により鋭い焦点を示しています。
このグループは主に中国語を話すユーザーをターゲットとしており、暗号通貨アプリケーションおよびゲーム関連のVPNツール(どちらも人気があり、しばしば詳しく調査されていない攻撃サーフェス)に特に関心があります。
このキャンペーンの中心には、よく知られたリモートアクセストロージャンであるオープンソースのGh0st RATの改良版があります。
このマルウェアをカスタマイズし、より新しい配信および実行方法と組み合わせることで、DragonBreathは侵害された環境で検出されないままでいる能力を大幅に増加させました。
RoningLoaderキャンペーン
セキュリティ企業AttackIQは、RoningLoaderキャンペーンの戦術、技術、および手順(TTPs)をシミュレートする新しい攻撃グラフをリリースしました。
このシミュレーションは、Adversarial Exposure Validation(AEV)プラットフォームを使用して、組織が実世界の敵対的な行動に対する防御をテストするのを支援するために設計されています。
RoningLoaderキャンペーンの主要なハイライトの1つは、DLLサイドローディングの使用です。このテクニックでは、攻撃者は悪意のあるDLLファイルを正当な実行ファイルの横に配置します。
信頼できるアプリケーションが実行されると、それは無意識に悪意のあるDLLをロードし、攻撃者が即座の疑いを招くことなくコードを実行できます。この方法は、セキュリティツールによってすでに許可されている信頼できるプロセスを悪用するため、特に効果的です。
観察された別の重要な回避戦術は、Windows API CreateRemoteThreadおよびLoadLibraryを介したコード注入です。
これにより、攻撃者は悪意のあるコードを正当なプロセスに直接注入し、その活動をマスクし、エンドポイントセキュリティソリューションによる検出をはるかに困難にします。
このキャンペーンはまた、複数の実行と永続技術を活用します。たとえば、攻撃者はStartServiceAやsc.exeなどのWindowsユーティリティを使用してサービス実行をシミュレートし、これはSYSTEMレベルへの権限昇格にも使用できます。
さらに、CreateServiceAを使用して新しいWindowsサービスを作成し、システムの再起動後でも永続性を確保します。
権限昇格は、ネイティブAPIを使用してSeDebugPrivilegeなどの機密権限を有効にすることにより、さらにサポートされます。攻撃者はまた、システムトークンを検査してユーザー権限レベルを決定し、侵害されたシステム内での次のステップを決定するのを支援します。
ディフェンスを弱体化させるため、DragonBreathはレジストリの変更を介してUser Account Control(UAC)を無効化し、正当なWindowsツールであるRegSvr32を使用して悪意のあるDLLを実行します。これらの「living off the land」テクニックにより、攻撃者は通常のシステムアクティビティと混ぜることができます。
ステルス注入によるDLLサイドローディング
ネットワーク内に入ると、マルウェアはネイティブWindows APIを使用して実行中のプロセスを列挙することにより、発見アクションを実行します。これにより、攻撃者は環境を理解し、高価値のターゲットを識別できます。
AttackIQは、そのような動作に対してセキュリティコントロールを検証することが重要であることを強調しています。彼らのシミュレーションにより、組織は検出パイプラインをテストし、防御効果を評価し、RoningLoaderのようなステルス脅威に対して継続的にセキュリティ姿勢を改善できます。
静的な脆弱性スキャンを超えて、実際の敵対的技術に焦点を当てることで、AttackIQのようなプラットフォームは、組織の露出のより正確な図を提供します。
このアプローチにより、セキュリティチームはリスクを優先順位付けし、防御を強化し、進化する脅威により効果的に対応できます。
RoningLoaderキャンペーンは成長中の傾向を強調しています:攻撃者は検出を回避するために正当なツールと高度な技術をますます組み合わせています。
DragonBreathのような脅威アクターが継続的に彼らの方法を洗練させるにつれて、組織は先を行くために継続的な検証戦略を採用する必要があります。
翻訳元: https://gbhackers.com/roningloader-campaign/
