DragonBreath(APT-Q-27)による新しいRoninLoaderマルウェアキャンペーン
高度なサイバースパイ組織であるDragonBreath(APT-Q-27)は、DLLサイドローディングとコードインジェクションなどの高度な回避技術を使用して従来のセキュリティ防御を突破する新しいRoninLoaderマルウェアキャンペーンに関連付けられています。
DragonBreathは少なくとも2022年から活動しており、その能力は着実に進化しています。以前のキャンペーンはQianXinとSophosによって文書化されていましたが、最近の活動では特にステルス性と持続性に対する焦点を絞っています。
このグループは主に中国語話者向けのターゲットとなり、暗号通貨アプリケーションやゲーム関連のVPNツールなど、攻撃対象として人気がありながらしばしば厳格な監視を受けない攻撃面を標的とします。
マルウェアの中心となるGh0st RAT
RoningLoaderキャンペーンの中心には、オープンソースのGh0st RAT(リモートアクセストロイアン)のカスタマイズされたバージョンがあります。DragonBreathはこのマルウェアを新しい配信と実行方法と組み合わせることで、侵害環境内で検出されにくい能力を大幅に向上させています。
AttackIQによる攻撃シナリオの作成
セキュリティ企業AttackIQは、RoninLoaderキャンペーンの戦術、技術、手順(TTPs)を模倣する新しい攻撃グラフを公開しました。このシミュレーションは、そのAEVプラットフォームを使用して実世界の敵対者行動に対する組織の防御をテストするために設計されています。
DLLサイドローディングとコードインジェクション
RoningLoaderキャンペーンの重要な特徴は、DLLサイドローディングです。この手法では、攻撃者は悪意のあるDLLファイルを合法的な実行可能ファイルに隣接させて配置します。信頼できるアプリケーションが実行されるとき、それは悪意のあるDLLを無意識のうちに読み込みます。
また、Windows APIを使用したCreateRemoteThreadとLoadLibraryによるコードインジェクションも観察されています。これにより攻撃者は合法的なプロセスに悪意のあるコードを直接注入し、アクティビティを隠蔽してエンドポイントセキュリティソリューションでの検出を困難にすることができます。
マルウェアの持続性と権限昇格
RoningLoaderキャンペーンは複数の実行および持続性技術を利用しています。例えば、攻撃者はWindowsユーティリティを使用してサービスをシミュレートし、システムレベルへの権限昇格も可能にします。
セキュリティ防御の弱体化
DragonBreathはユーザー アカウント制御(UAC)を無効にするためにレジストリ変更を使用し、RegSvr32という正当なWindowsツールを利用して悪意のあるDLLを実行します。これらの「土地に住む」技術により、攻撃者は通常のシステム活動と混ざり合うことができます。
セキュリティ対策の検証
AttackIQは、このような行動に対するセキュリティ制御を検証することが重要であると強調しています。そのシミュレーションにより組織は検出パイプラインをテストし、防御効果を評価し、継続的に改善することができます。