Μια ομάδα hacking APT γνωστή ως “Dragon Breath”, “Golden Eye Dog” ή “APT-Q-27” επιδεικνύει μια νέα τάση που χρησιμοποιεί πολλαπλές, σύνθετες παραλλαγές της κλασικής τεχνικής DLL sideloading για να αποφύγει την ανίχνευση.
Δείτε επίσης: Η κινεζική ομάδα Earth Longzhi επανεμφανίζεται με προηγμένες τακτικές malware
Αυτές οι παραλλαγές επίθεσης ξεκινούν με έναν αρχικό φορέα που αξιοποιεί μια καθαρή εφαρμογή, πιο συχνά το Telegram, η οποία μεταφέρει ένα ωφέλιμο φορτίο δεύτερου σταδίου, το οποίο με τη σειρά του μεταφέρει ένα κακόβουλο malware loader DLL.
Το δέλεαρ για τα θύματα είναι οι εφαρμογές Trojanized Telegram, LetsVPN ή WhatsApp για Android, iOS ή Windows που υποτίθεται ότι έχουν γίνει localized για άτομα στην Κίνα. Πιστεύεται ότι τα trojanized apps προωθούνται με τη χρήση BlackSEO ή malvertising.
Σύμφωνα με τους αναλυτές της Sophos που έχουν παρακολουθήσει τις πρόσφατες επιθέσεις του απειλητικού φορέα, το εύρος στόχευσης αυτής της εκστρατείας επικεντρώνεται σε χρήστες των Windows που μιλούν κινέζικα στην Κίνα, την Ιαπωνία, την Ταϊβάν, τη Σιγκαπούρη, το Χονγκ Κονγκ και τις Φιλιππίνες.
Δείτε επίσης: Η πόλη του Ντάλας δέχτηκε επίθεση από το Royal ransomware
Διπλό DLL sideloading
Το DLL sideloading είναι μια τεχνική που χρησιμοποιείται από επιτιθέμενους από το 2010, εκμεταλλευόμενοι τον επισφαλή τρόπο φόρτωσης αρχείων DLL (Dynamic Link Library) των Windows που απαιτούνται από μια εφαρμογή.
Ο επιτιθέμενος τοποθετεί ένα κακόβουλο DLL, με το ίδιο όνομα με το νόμιμο, απαιτούμενο DLL, στον κατάλογο μιας εφαρμογής. Όταν ο χρήστης εκκινεί το εκτελέσιμο πρόγραμμα, τα Windows δίνουν προτεραιότητα στο τοπικό κακόβουλο DLL έναντι αυτού που βρίσκεται στους φακέλους του συστήματος.
Το DLL του επιτιθέμενου περιέχει κακόβουλο κώδικα που φορτώνεται σε αυτό το στάδιο, δίνοντας στον επιτιθέμενο προνόμια ή εκτελώντας εντολές στον host εκμεταλλευόμενος την αξιόπιστη, υπογεγραμμένη εφαρμογή που το φορτώνει.
Σε αυτή την εκστρατεία, τα θύματα εκτελούν τον installer των αναφερόμενων εφαρμογών, ο οποίος τοποθετεί συστατικά στο σύστημα και δημιουργεί ένα desktop shortcut και μια καταχώριση εκκίνησης του συστήματος.
Εάν το θύμα επιχειρήσει να εκκινήσει τη νεοδημιουργηθείσα συντόμευση επιφάνειας εργασίας, όπως αναμένεται να είναι το πρώτο βήμα, αντί να εκκινήσει την εφαρμογή, θα εκτελεστεί στο σύστημα η ακόλουθη εντολή.
Η εντολή εκτελεί μια μετονομασμένη έκδοση του ‘regsvr32.exe’ (‘appR.exe’) για να εκτελέσει μια μετονομασμένη έκδοση του ‘scrobj.dll’ (‘appR.dll’) και παρέχει ένα αρχείο DAT (‘appR.dat’) ως input σε αυτό. Το DAT περιέχει κώδικα JavaScript για εκτέλεση από το script execution engine library (‘appR.dll’).
Ο κώδικας JavaScript εκκινεί το user interface της εφαρμογής Telegram στο προσκήνιο, ενώ ταυτόχρονα εγκαθιστά διάφορα sideloading components στο παρασκήνιο.
Στη συνέχεια, ο installer φορτώνει μια εφαρμογή δεύτερου σταδίου χρησιμοποιώντας ένα clean dependency (libexpat.dll) για να φορτώσει μια δεύτερη, καθαρή εφαρμογή ως ενδιάμεσο στάδιο επίθεσης.
Δείτε επίσης: Sandworm: Χρησιμοποίησε WinRAR για την καταστροφή δεδομένων μιας ουκρανικής κρατικής υπηρεσίας
Σε μια παραλλαγή της επίθεσης, η καθαρή εφαρμογή “XLGame.exe” μετονομάζεται σε “Application.exe” και ο second-stage loader είναι επίσης ένα καθαρό executable, υπογεγραμμένο από την Beijing Baidu Netcom Science and Technology Co., Ltd.
Σε μια άλλη παραλλαγή, ο second-stage clean loader είναι το “KingdomTwoCrowns.exe”, το οποίο δεν είναι ψηφιακά υπογεγραμμένο και η Sophos δεν μπόρεσε να προσδιορίσει ποιο πλεονέκτημα προσφέρει εκτός από τo obfuscating της αλυσίδας εκτέλεσης.
Σε μια τρίτη παραλλαγή της επίθεσης, ο second-stage loader είναι το καθαρό εκτελέσιμο αρχείο, “d3dim9.exe”, το οποίο είναι ψηφιακά υπογεγραμμένο από την HP Inc.
Αυτή η τεχνική “double DLL sideloading” επιτυγχάνει evasion, obfuscation και persistence, δυσκολεύοντας τους defenders να προσαρμοστούν σε συγκεκριμένα μοτίβα επιθέσεων και να προστατεύσουν αποτελεσματικά τα δίκτυά τους.
Το τελευταίο payload
Σε όλες τις παραλλαγές επίθεσης που παρατηρήθηκαν, το τελικό payload DLL αποκρυπτογραφείται από ένα αρχείο κειμένου (“templateX.txt”) και εκτελείται στο σύστημα.
Αυτό το payload είναι ένα backdoor που υποστηρίζει διάφορες εντολές, όπως επανεκκίνηση συστήματος, τροποποίηση κλειδιών μητρώου, ανάκτηση αρχείων, κλοπή clipboard content, εκτέλεση εντολών σε κρυφό παράθυρο CMD και άλλα.
Το backdoor στοχεύει επίσης στην επέκταση MetaMask του Chrome για το πορτοφόλι κρυπτονομισμάτων, με στόχο την κλοπή ψηφιακών περιουσιακών στοιχείων από τα θύματα.
Συνοψίζοντας, το DLL sideloading παραμένει μια αποτελεσματική μέθοδος επίθεσης για τους χάκερς και μια μέθοδος που η Microsoft και οι προγραμματιστές απέτυχαν να αντιμετωπίσουν για πάνω από δέκα χρόνια.
Στην τελευταία επίθεση της APT-Q-27, οι αναλυτές παρατήρησαν παραλλαγές DLL sideloading που είναι δύσκολο να εντοπιστούν- έτσι, επιτυγχάνουν μια πιο αθόρυβη αλυσίδα μόλυνσης.
Πηγή πληροφοριών: bleepingcomputer.com
