Um ator de ameaças persistentes avançadas (APT) conhecido como Dragon Breath foi observado adicionando novas camadas de complexidade aos seus ataques ao adotar um novo mecanismo de side-loading DLL.
"O ataque é baseado em um ataque clássico de side-loading, consistindo de um aplicativo limpo, um carregador malicioso e um payload criptografado, com várias modificações feitas nesses componentes ao longo do tempo", disse o pesquisador da Sophos Gabor Szappanos.
"As últimas campanhas adicionam uma reviravolta em que um aplicativo limpo de primeira etapa 'carrega lateralmente' um segundo aplicativo limpo e o executa automaticamente.
O segundo aplicativo limpo side-loading a DLL do loader malicioso.
Depois disso, a DLL do carregador malicioso executa a payload final".
A operação Dragon Breath, também rastreada sob os nomes APT-Q-27 e Golden Eye, foi documentada pela primeira vez pela QiAnXin em 2020, detalhando uma campanha de "watering hole" projetada para enganar os usuários a baixar um instalador do Windows trojanizado para o Telegram.
Uma campanha subsequente detalhada pela empresa chinesa de cibersegurança em maio de 2022 destacou o uso contínuo de instaladores do Telegram como isca para implantar payloads adicionais, como o gh0st RAT.
Também se diz que Dragon Breath faz parte de uma entidade maior chamada Miuuti Group, com o adversário caracterizado como uma entidade "de língua chinesa" que visa as indústrias de jogos online e apostas, juntando-se a outros grupos de atividade chineses como Dragon Castling, Dragon Dance e Earth Berberoka.
A estratégia de side-loading de DLL de dupla imersão, segundo a Sophos, foi aproveitada em ataques visando usuários nas Filipinas, Japão, Taiwan, Cingapura, Hong Kong e China.
Essas tentativas de intrusão foram, em última análise, mal sucedidas.
O vetor inicial é um site falso que hospeda um instalador do Telegram que, quando aberto, cria um atalho na área de trabalho que é projetado para carregar componentes maliciosos nos bastidores ao ser iniciado, enquanto também exibe para a vítima a interface de usuário do aplicativo Telegram.
Além disso, acredita-se que o adversário tenha criado várias variações do esquema em que instaladores adulterados de outros aplicativos, como LetsVPN e WhatsApp, são usados para iniciar a cadeia de ataque.
A próxima etapa envolve o uso de um segundo aplicativo limpo como intermediário para evitar detecção e carregar o payload final por meio de uma DLL maliciosa.
O payload funciona como uma porta dos fundos capaz de baixar e executar arquivos, limpar logs de eventos, extrair e definir conteúdo da área de transferência, executar comandos arbitrários e roubar criptomoedas da extensão da carteira MetaMask para o Google Chrome.
"O side-loading de DLL, identificado pela primeira vez em produtos Windows em 2010, mas prevalente em várias plataformas, continua a ser uma tática eficaz e atraente para atores de ameaças", disse Szappanos.
"Essa técnica dupla de aplicativo limpo empregada pelo grupo Dragon Breath, visando um setor de usuários (jogo online) que tradicionalmente foi menos examinado por pesquisadores de segurança, representa a vitalidade contínua dessa abordagem".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...