(https://i.imgur.com/qZwC5Y7.png)
Se ha observado que un actor de amenaza persistente avanzada (APT) conocido como Dragon Breath agrega nuevas capas de complejidad a sus ataques mediante la adopción de un novedoso mecanismo de carga lateral de DLL.
"El ataque se basa en un ataque clásico de carga lateral, que consiste en una aplicación limpia, un cargador malicioso y una carga útil cifrada, con varias modificaciones realizadas a estos componentes a lo largo del tiempo", dijo el investigador de Sophos Gabor Szappanos.
"Las últimas campañas agregan un giro en el que una aplicación limpia de primera etapa carga una segunda aplicación limpia y la ejecuta automáticamente. La segunda aplicación limpia carga lateralmente la DLL del cargador malicioso. Después de eso, la DLL del cargador malicioso ejecuta la carga útil final".
La Operación Dragon Breath, también rastreada bajo los nombres APT-Q-27 y Golden Eye, fue documentada por primera vez por QiAnXin en 2020, detallando una campaña de abrevadero diseñada para engañar a los usuarios para que descarguen un instalador de Windows troyano para Telegram.
Una campaña posterior detallada por la compañía china de ciberseguridad en mayo de 2022 destacó el uso continuo de instaladores de Telegram como señuelo para desplegar cargas útiles adicionales como gh0st RAT.
También se dice que Dragon Breath es parte de una entidad más grande llamada Miuuti Group, con el adversario caracterizado como una entidad de "habla china" dirigida a las industrias de juegos y apuestas en línea, uniéndose a otros grupos de actividad chinos como Dragon Castling, Dragon Dance y Earth Berberoka.
(https://i.imgur.com/4R90j3Y.png)
La estrategia de carga lateral de DLL de doble inmersión, según Sophos, se ha aprovechado en ataques dirigidos a usuarios en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China. Estos intentos de intrusión fueron finalmente infructuosos.
El vector inicial es un sitio web falso que aloja un instalador para Telegram que, cuando se abre, crea un acceso directo al escritorio que está diseñado para cargar componentes maliciosos detrás de escena al iniciarse, al tiempo que muestra a la víctima la interfaz de usuario de la aplicación Telegram.
Además, se cree que el adversario ha creado múltiples variaciones del esquema en el que los instaladores manipulados para otras aplicaciones, como LetsVPN y WhatsApp, se utilizan para iniciar la cadena de ataque.
La siguiente etapa implica el uso de una segunda aplicación limpia como intermediario para evitar la detección y cargar la carga útil final a través de una DLL maliciosa.
La carga útil funciona como una puerta trasera capaz de descargar y ejecutar archivos, borrar registros de eventos, extraer y configurar contenido del portapapeles, ejecutar comandos arbitrarios y robar criptomonedas de la extensión de billetera MetaMask para Google Chrome.
"La carga lateral de DLL, identificada por primera vez en los productos de Windows en 2010 pero prevalente en múltiples plataformas, sigue siendo una táctica efectiva y atractiva para los actores de amenazas", dijo Szappanos.
"Esta técnica de doble aplicación limpia empleada por el grupo Dragon Breath, dirigida a un sector de usuarios (juegos de azar en línea) que tradicionalmente ha sido menos examinado por los investigadores de seguridad, representa la vitalidad continua de este enfoque".
Fuente: https://thehackernews.com