Nhóm tác nhân đe dọa được biết đến với tên gọi Dragon Breath đã bị phát hiện sử dụng một bộ tải nhiều giai đoạn có tên mã RONINGLOADER để triển khai một biến thể đã sửa đổi của trojan truy cập từ xa Gh0st RAT.
Chiến dịch này, chủ yếu nhắm vào người dùng nói tiếng Trung Quốc, sử dụng các trình cài đặt NSIS bị lây nhiễm mã độc giả mạo các phần mềm hợp pháp như Google Chrome và Microsoft Teams, theo Elastic Security Labs.
“Chuỗi lây nhiễm sử dụng cơ chế phân phối nhiều giai đoạn, tận dụng nhiều kỹ thuật né tránh, với nhiều biện pháp dự phòng nhằm vô hiệu hóa các sản phẩm bảo mật điểm cuối phổ biến trên thị trường Trung Quốc,” các nhà nghiên cứu bảo mật Jia Yu Chan và Salim Bitam cho biết. “Các kỹ thuật này bao gồm việc mang theo một driver hợp pháp có chữ ký, triển khai các chính sách WDAC tùy chỉnh và can thiệp vào tệp nhị phân Microsoft Defender thông qua việc lạm dụng PPL [Protected Process Light].”
Dragon Breath, còn được gọi là APT-Q-27 và Golden Eye, đã từng được Sophos nhấn mạnh vào tháng 5 năm 2023 liên quan đến một chiến dịch sử dụng kỹ thuật double-dip DLL side-loading trong các cuộc tấn công nhắm vào người dùng ở Philippines, Nhật Bản, Đài Loan, Singapore, Hồng Kông và Trung Quốc.
Nhóm tấn công này, được đánh giá là hoạt động từ ít nhất năm 2020, có liên kết với một thực thể lớn hơn nói tiếng Trung Quốc được theo dõi với tên Miuuti Group, vốn nổi tiếng với các cuộc tấn công vào ngành công nghiệp trò chơi và cờ bạc trực tuyến.
Trong chiến dịch mới nhất được Elastic Security Labs ghi nhận, các trình cài đặt NSIS độc hại giả mạo ứng dụng đáng tin cậy đóng vai trò là bệ phóng cho hai trình cài đặt NSIS nhúng khác, một trong số đó ("letsvpnlatest.exe") là lành tính và cài đặt phần mềm hợp pháp. Tệp nhị phân NSIS thứ hai ("Snieoatwtregoable.exe") chịu trách nhiệm âm thầm kích hoạt chuỗi tấn công.
Điều này liên quan đến việc phân phối một DLL và một tệp được mã hóa ("tp.png"), trong đó tệp trước được sử dụng để đọc nội dung của hình ảnh PNG được cho là và trích xuất shellcode được thiết kế để khởi chạy một tệp nhị phân khác trong bộ nhớ.
RONINGLOADER, bên cạnh việc cố gắng loại bỏ bất kỳ hook nào ở cấp người dùng bằng cách tải một "ntdll.dll" mới, còn cố gắng nâng cao đặc quyền của nó bằng cách sử dụng lệnh runas và quét danh sách các tiến trình đang chạy để tìm các giải pháp liên quan đến chống virus được mã hóa cứng, chẳng hạn như Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager và Qihoo 360 Total Security.
Sau đó, mã độc tiến hành chấm dứt các tiến trình đã xác định. Trong trường hợp tiến trình được xác định có liên quan đến Qihoo 360 Total Security (ví dụ: "360tray.exe," "360Safe.exe," hoặc "ZhuDongFangYu.exe"), nó sẽ thực hiện một phương pháp khác. Bước này bao gồm chuỗi hành động sau:
- Chặn tất cả giao tiếp mạng bằng cách thay đổi firewall
- Tiêm shellcode vào tiến trình (vssvc.exe) liên quan đến dịch vụ Volume Shadow Copy (VSS), nhưng không trước khi cấp cho chính nó token SeDebugPrivilege
- Khởi động dịch vụ VSS và lấy ID tiến trình của nó
- Tiêm shellcode vào tiến trình dịch vụ VSS bằng kỹ thuật có tên PoolParty
- Tải và sử dụng một driver có chữ ký tên "ollama.sys" để chấm dứt ba tiến trình thông qua một dịch vụ tạm thời có tên "xererre1"
- Khôi phục cài đặt firewall
Đối với các tiến trình bảo mật khác, bộ tải trực tiếp ghi driver vào đĩa và tạo một dịch vụ tạm thời có tên "ollama" để tải driver, thực hiện chấm dứt tiến trình, sau đó dừng và xóa dịch vụ.
Khi tất cả các tiến trình bảo mật đã bị chấm dứt trên máy chủ bị nhiễm, RONINGLOADER chạy các script batch để bỏ qua User Account Control (UAC) và tạo các quy tắc firewall để chặn các kết nối đến và đi liên quan đến phần mềm bảo mật Qihoo 360.
Mã độc này cũng đã được quan sát sử dụng hai kỹ thuật được nhà nghiên cứu bảo mật Zero Salarium ghi lại vào đầu năm nay, lạm dụng PPL và hệ thống Windows Error Reporting ("WerFaultSecure.exe") (còn gọi là EDR-Freeze) để vô hiệu hóa Microsoft Defender Antivirus. Hơn nữa, nó nhắm mục tiêu vào Windows Defender Application Control (WDAC) bằng cách ghi một chính sách độc hại nhằm chặn rõ ràng các nhà cung cấp bảo mật Trung Quốc là Qihoo 360 Total Security và Huorong Security.
Mục tiêu cuối cùng của bộ tải là tiêm một DLL độc hại vào "regsvr32.exe", một tệp nhị phân Windows hợp pháp, để che giấu hoạt động của nó và khởi chạy payload giai đoạn tiếp theo vào một tiến trình hệ thống hợp pháp, có đặc quyền cao khác như "TrustedInstaller.exe" hoặc "elevation_service.exe." Mã độc cuối cùng được triển khai là một phiên bản đã sửa đổi của Gh0st RAT.
Trojan được thiết kế để liên lạc với một máy chủ từ xa nhằm lấy thêm các hướng dẫn cho phép nó cấu hình các khóa Windows Registry, xóa nhật ký Windows Event logs, tải xuống và thực thi các tệp từ các URL được cung cấp, thay đổi dữ liệu clipboard, chạy lệnh qua "cmd.exe", tiêm shellcode vào "svchost.exe" và thực thi các payload được thả xuống đĩa. Biến thể này cũng triển khai một module thu thập các lần gõ phím, nội dung clipboard và tiêu đề cửa sổ foreground.
Chiến dịch mạo danh thương hiệu nhắm mục tiêu người nói tiếng Trung Quốc với Gh0st RAT
Thông tin này được đưa ra khi Palo Alto Networks Unit 42 cho biết họ đã xác định hai chiến dịch mã độc liên kết với nhau, sử dụng "mạo danh thương hiệu quy mô lớn" để phát tán Gh0st RAT đến người dùng nói tiếng Trung Quốc. Hoạt động này chưa được gán cho bất kỳ tác nhân đe dọa hoặc nhóm nào đã biết.
Trong khi chiến dịch đầu tiên – được đặt tên là Campaign Trio – diễn ra từ tháng 2 đến tháng 3 năm 2025 bằng cách bắt chước i4tools, Youdao và DeepSeek trên hơn 2.000 tên miền, thì chiến dịch thứ hai, được phát hiện vào tháng 5 năm 2025, được cho là tinh vi hơn, mạo danh hơn 40 ứng dụng, bao gồm QQ Music và trình duyệt Sogou. Làn sóng thứ hai này đã được đặt tên mã là Campaign Chorus.
“Từ chiến dịch đầu tiên đến chiến dịch thứ hai, kẻ thù đã phát triển từ các dropper đơn giản thành các chuỗi lây nhiễm phức tạp, nhiều giai đoạn, lạm dụng phần mềm hợp pháp, có chữ ký để vượt qua các biện pháp phòng thủ hiện đại,” các nhà nghiên cứu bảo mật Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed và Reethika Ramesh cho biết.
Các tên miền này được phát hiện chứa các tệp lưu trữ ZIP chứa các trình cài đặt bị nhiễm mã độc, cuối cùng mở đường cho việc triển khai Gh0st RAT. Tuy nhiên, chiến dịch thứ hai không chỉ tận dụng nhiều chương trình phần mềm hơn làm mồi nhử để tiếp cận một lượng lớn người nói tiếng Trung Quốc, mà còn sử dụng một chuỗi lây nhiễm “phức tạp và khó nắm bắt” bằng cách sử dụng các tên miền chuyển hướng trung gian để lấy các tệp lưu trữ ZIP từ các vùng lưu trữ dịch vụ đám mây công cộng.
Bằng cách này, phương pháp có thể bỏ qua các bộ lọc mạng có khả năng chặn lưu lượng truy cập từ các tên miền không xác định, chưa kể đến khả năng phục hồi hoạt động của tác nhân đe dọa. Trình cài đặt MSI, trong trường hợp này, cũng chạy một Visual Basic Script nhúng chịu trách nhiệm giải mã và khởi chạy payload cuối cùng bằng cách sử dụng DLL side-loading.
“Hoạt động song song của cả cơ sở hạ tầng cũ và mới thông qua hoạt động liên tục cho thấy một chiến dịch không chỉ đơn thuần là đang phát triển mà còn bao gồm nhiều cơ sở hạ tầng và bộ công cụ riêng biệt đồng thời,” các nhà nghiên cứu cho biết. “Điều này có thể cho thấy việc thử nghiệm A/B các TTP, nhắm mục tiêu các nhóm nạn nhân khác nhau với mức độ phức tạp khác nhau, hoặc đơn giản là một chiến lược hiệu quả về chi phí nhằm tiếp tục tận dụng các tài sản cũ miễn là chúng vẫn hiệu quả.”
