НОВОСТЬ: Опасное ПО RONINGLOADER, нацеленное на пользователей в Китае, распространяет изменённый gh0stRAT через зараженные установщики, masкирующиеся под легитимные приложения, такие как Chrome и Teams. Это угроза безопасности имеет ряд характеристик, чтобы обходить защитные механизмы.
Технология угрозы
RONINGLOADER устанавливает компоненты в C:\Program Files\Snieoatwtregoable\ и использует Snieoatwtregoable.dll для расшифровки файла tp.png. Используя сложные алгоритмы и систему новых библиотек, ПО устраняет защита, повышает привилегии и сканирует безопасность, включая Microsoft Defender и Qihoo 360 Total Security.
- Используется подписанный драйвер ollama.sys для завершения процессов.
- Драйвер подписан Kunming Wuqi E-commerce Co., Ltd.
- Записывает драйвер на диск и запускает временные службы.
Тактика обхода защиты в новых драйверах
Тактика обхода защиты
Аналитики Elastic связывают эту кампанию с Dragon Breath APT. ПО демонстрирует использование Windows Protected Process Light и множество запасных техник для отключения защитных средств. Например, могут блокироваться сеть и инжектироваться код в службы через Windows thread pools, что значительно осложняет обнаружение угрозы.
