كشفت أحدث التقارير الأمنية عن حملة خبيثة متطورة تشنها مجموعة تهديدات تُعرف باسم “تنين التنين” (Dragon Breath)، تستخدم فيها حمولة برمجية متعددة المراحل تحمل الاسم الرمزي “RONINGLOADER” لنشر نسخة معدلة من حصان الوصول عن بُعد الشهير Gh0st RAT. وتستهدف الحملة بشكل رئيسي الناطقين بالصينية، من خلال محاكاة برامج مشروعة مثل Google Chrome وMicrosoft Teams.
آلية الهجوم: تعطيل الحلول الأمنية بتقنيات متطورة
تعتمد سلسلة العدوى آلية توصيل متعددة المراحل تستخدم تقنيات متطورة للتجنب، مع العديد من الخطط الاحتياطية التي تهدف إلى تحييد منتجات الأمانEndpoint الشائعة في السوق الصينية. وقال باحثو الأمان في Elastic Security Labs إن هذه التقنيات تشمل:
-
استخدام برنامج تشغيل موقع قانونياً
-
نشر سياسات WDAC مخصصة
-
العبث بالملف الثنائي Microsoft Defender من خلال إساءة استخدام PPL
وتمتلك المجموعة، التي تُعرف أيضاً باسم APT-Q-27 وGolden Eye، سجلاً حافلاً بالهجمات منذ عام 2020 على الأقل، وترتبط بكيان أكبر ناطق بالصينية يُتعقب تحت اسم Miuuti Group، والمعروفة باستهدافها لصناعات الألعاب عبر الإنترنت والقمار.
التفاصيل التقنية: تعطيل متقدم للحلول الأمنية
تعمل البرامج الضارة من خلال محاكاة برامج موثوقة، حيث تعمل كمنصة انطلاق لمثبتات NSIS إضافية. وتتضمن العملية توصيل ملف DLL وملف مشفر (“tp.png”)، حيث يُستخدم الأول لقراءة محتويات الصورة المزعومة واستخراج شفرة shell مصممة لإطلاق ملف ثنائي آخر في الذاكرة.
ويحاول RONINGLOADER رفع امتيازاته باستخدام أمر runas ويفحص قائمة العمليات الجارية بحثاً عن حلول مضادة للفيروسات محددة مسبقاً، بما في ذلك:
-
Microsoft Defender Antivirus
-
Kingsoft Internet Security
-
Tencent PC Manager
-
Qihoo 360 Total Security
ثم تنتقل البرمجية الخبيثة إلى إنهاء تلك العمليات التي تم تحديدها، مع اتخاذ إجراءات خاصة ومتطورة عند التعامل مع برنامج Qihoo 360 Total Security، تشمل حظر كل اتصالات الشبكة وتغيير إعدادات الجدار الناري.
تطور التهديد: حملات متوازية بتقنيات متغيرة
يأتي هذا الكشف بالتزامن مع تحديد باحثي الأمان في Palo Alto Networks Unit 42 لحملتين متصلتين للبرمجيات الخبيثة استخدمتا “انتحال الهوية التجارية على نطاق واسع” لتوصيل Gh0st RAT إلى المستخدمين الناطقين بالصينية. وتميزت الحملة الثانية – التي تحمل الاسم الرمزي Campaign Chorus – بتطور تقني ملحوظ، حيث انتحلت شخصية أكثر من 40 تطبيقاً، باستخدام سلسلة عدوى معقدة ومراوغة تستخدم نطاقات إعادة توجيه وسيطة لجلب الأرشيفات من دلائل خدمة السحابة العامة.
ويكشف تحليل البنية التحتية أن مجموعة التهديدات تعمل بشكل متوازي باستخدام البنى التحتية القديمة والجديدة معاً، مما قد يشير إلى اختبار A/B للأساليب والتقنيات والإجراءات TTPs، أو استهداف مجموعات ضحايا مختلفة بمستويات مختلفة من التعقيد.
