Roningloader kampány
Az Elastic Security Labs jelentése szerint a Roningloader kampányt egy kémkedési műveletként azonosították, amelyet – magas biztonsági fokkal – az állami támogatású, Dragon Breath APT (APT-Q-27) csoport hajtott végre. A célzott tevékenység fókuszában kínai nyelvterületen élő felhasználók állnak, de eszközei nem csupán regionálisak, a kampány értékelése szerint egyértelműen fejlődött a korábbi műveletekhez képest.
A támadás kulcsfontosságú jellemzője a személyre szabott pszichológiai megtévesztés, a folyamat egy legitimnek tűnő telepítőcsomaggal kezdődik, amelyet nyíltan és megtévesztően is bemutatnak népszerű alkalmazások telepítőjeként. Az első szakaszban a telepítő két beágyazott NSIS-installerrel dolgozik, az egyik valóban telepít egy alkalmazást, hogy az áldozat ne legyen gyanakvó, míg a másik – tálcára ragadás nélkül – elindítja a rosszindulatú betöltési láncot.
A rosszindulatú lánc lépései több szakaszra oszlanak, és komoly technikai haladást mutatnak: a végrehajtás felépítése között szerepel digitálisan aláírt kernel-driver használata, thread-pool alapú injekció, valamint az PPL- (Protected Process Light) mechanizmus megtámadása annak érdekében, hogy a rendszerbe épített védelmi mechanizmusokat – például a Microsoft Defender Antivirus vagy más Kínában népszerű biztonsági szoftvereket – semmisíteni tudja vagy hatástalanítsa. A kampány során például felhasználnak egy ollama.sys nevű aláírt illesztőprogramot, amelyet a rendszerbe való beépülésre és biztonsági folyamatok kilövése céljából használnak.
Az implantáció során a Roningloader először jogosultság-emelkedésre törekszik, majd ellenőrzi, futnak-e bizonyos AV-folyamatok, és ha igen, akkor különféle intenzív folyamat-injekciókat és kernel-szintű folyamat-leállítást hajt végre. Ilyen például az AV-folyamatok leállítása a kernel-illesztőn keresztül IOCTL-hívásokkal, vagy saját WDAC- (Windows Defender Application Control) szabálykészletek betöltése, amelyek célzottan letiltanak kínai biztonsági szoftvereket. A végső célpont a módosított Gh0st RAT, amely az adatgyűjtés, távoli parancsok végrehajtása, billentyűleütések rögzítése, vágólap-monitorozás, folyamatok letapogatása, rendszergazdai jogok megszerzése és C2-kommunikáció révén működik.
