Группа Dragon Breath, также известная как APT-Q-27 или Golden Eye, применила многослойную программу-загрузчик под кодовым названием RONINGLOADER для доставки модифицированного вариантt трояна удаленного доступа Gh0st RAT. Эта кибератака нацелена на пользователей, говорящих на китайском языке, используя троянские установщики программ NSIS, замаскированные под легитимные приложения, такие как Google Chrome и Microsoft Teams.
Цели и методы
Dragon Breath, действующая с 2020 года и связанная с группой Miuuti, атакует индустрии онлайн-игр и азартных игр. В кампании, описанной Elastic Security Labs, используется методика избегания обнаружения, включающая использование подписанных драйверов, настройку политик Windows Defender Application Control (WDAC), и злоупотребление защищенными процессами Microsoft Defender.
Новый загрузчик RONINGLOADER проверяет системы на наличие антивирусов и продуктов конечных точек, включая Microsoft Defender, Kingsoft, Tencent PC Manager и Qihoo360. Он завершает обнаруженные процессы и, для Qihoo360, изменяет правила брандмауэра, инжектирует шеллкод, устанавливает драйверы и затем восстанавливает настройки брандмауэра.
Этапы атаки: пошаговое руководство
Этапы атаки
В ходе атаки используются скрипты для обхода контроля учетных записей (UAC), создаются новые правила брандмауэра, злоупотребляя отчётами об ошибках Windows для отключения Defender, и вводятся вредоносные WDAC-политики, нацеленные на китайских поставщиков безопасности. Загрузчик внедряет DLL в процес regsvr32.exe для скрытия активности, впоследствии вводя следующую ступень в высокопривилегированные процессы, такие как TrustedInstaller.exe, что обеспечивает выполнение финального полезного сгруза.
В то же время, исследователи из Palo Alto Networks Unit 42 задокументировали еще две кибератаки, использующие Gh0st RAT для китайских пользователей: Кампания Trio (февраль–март 2025 года) и Кампания Chorus (май 2025 года), включавшие характерное использование подложных доменов и облачных хранилищ.
Тактика злоумышленников изменилась: от простых загрузчиков с переходом к сложным многослойным цепям атак, использующим легитимно подписанное ПО для обхода защиты, предполагающим наличие нескольких инфраструктур и разных наборов инструментов.
