Dragon Breath APT เปิดตัว RoningLoader โจมตีขั้นสูง
กลุ่ม Dragon Breath APT (APT-Q-27) ถูกเปิดโปงโดย Elastic Security Labs ว่ากำลังดำเนินการแคมเปญมัลแวร์ใหม่ที่ใช้ RoningLoader ซึ่งเป็นตัวโหลดหลายขั้นตอนที่มีความซับซ้อนสูง จุดเด่นคือการใช้ Kernel Driver ที่เซ็นรับรองอย่างถูกต้อง และการ โจมตี Protected Process Light (PPL) เพื่อปิดการทำงานของ Windows Defender ได้อย่างมีประสิทธิภาพ
เทคนิคการโจมตีที่ซับซ้อน
RoningLoader ถูกปล่อยผ่าน ตัวติดตั้งที่ถูกปลอมแปลงเป็นแอปพลิเคชันที่เชื่อถือได้ เช่น Google Chrome และ Microsoft Teams โดยในเบื้องหน้าจะติดตั้งแอปจริงเพื่อสร้างความน่าเชื่อถือ แต่เบื้องหลังจะรันโค้ดอันตรายแบบเงียบ ๆ แคมเปญนี้ยังใช้ Phantom DLL sideloading, reflective loading, process hollowing และ remote thread execution เพื่อฉีดโค้ดเข้าสู่ระบบอย่างแนบเนียน
การปิดระบบป้องกันและเลี่ยงการตรวจจับ
หนึ่งในเทคนิคที่น่ากังวลคือการใช้ ClipUp.exe พร้อม custom hooks เพื่อเขียนทับไฟล์สำคัญของ Defender ทำให้ระบบป้องกันถูกปิดแม้หลังรีบูต อีกทั้งยังใช้ WDAC policy ที่ไม่ได้เซ็นรับรอง เพื่อบล็อกโปรแกรมป้องกันไวรัสยอดนิยมในจีน เช่น 360 Total Security และ Huorong ซึ่งสะท้อนถึงการมุ่งเป้าโจมตีผู้ใช้ที่พูดภาษาจีนโดยเฉพาะ
เป้าหมายและ Payload สุดท้าย
เมื่อกระบวนการโหลดเสร็จสิ้น RoningLoader จะติดตั้ง Gh0st RAT รุ่นปรับปรุง ซึ่งสามารถทำงานได้หลายอย่าง เช่น การสั่งรันคำสั่งระยะไกล, keylogging, clipboard hijacking (รวมถึงการแทนที่ address ของกระเป๋าเงินคริปโต), และการส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ควบคุม การโจมตีนี้จึงไม่เพียงแต่เป็นการสอดแนม แต่ยังมีเป้าหมายเพื่อ ขโมยคริปโตเคอร์เรนซี อีกด้วย
สรุปสาระสำคัญ
Dragon Breath APT เปิดตัว RoningLoader
ใช้ Kernel Driver ที่เซ็นรับรองเพื่อฆ่าโปรเซสป้องกัน
ใช้ PPL abuse ปิด Windows Defender
เทคนิคการโจมตีขั้นสูง
Phantom DLL sideloading และ reflective loading
Process hollowing และ remote thread execution
การเลี่ยงการตรวจจับ
ใช้ ClipUp.exe เขียนทับไฟล์ Defender
WDAC policy ที่ไม่ได้เซ็นรับรอง บล็ก AV จีน
Payload สุดท้าย Gh0st RAT
Keylogging, clipboard hijacking, system profiling
ขโมยข้อมูลและ cryptocurrency
คำเตือนด้านความปลอดภัย
การใช้ driver ที่เซ็นรับรองจริงทำให้การตรวจจับยากขึ้น
ผู้ใช้ในจีนเสี่ยงสูงจากการบล็อก AV ยอดนิยม
Clipboard hijacking อาจทำให้สูญเสียเงินคริปโตทันที
https://securityonline.info/dragon-breath-apt-deploys-roningloader-using-kernel-driver-and-ppl-abuse-to-disable-windows-defender/
กลุ่ม Dragon Breath APT (APT-Q-27) ถูกเปิดโปงโดย Elastic Security Labs ว่ากำลังดำเนินการแคมเปญมัลแวร์ใหม่ที่ใช้ RoningLoader ซึ่งเป็นตัวโหลดหลายขั้นตอนที่มีความซับซ้อนสูง จุดเด่นคือการใช้ Kernel Driver ที่เซ็นรับรองอย่างถูกต้อง และการ โจมตี Protected Process Light (PPL) เพื่อปิดการทำงานของ Windows Defender ได้อย่างมีประสิทธิภาพ
เทคนิคการโจมตีที่ซับซ้อน
RoningLoader ถูกปล่อยผ่าน ตัวติดตั้งที่ถูกปลอมแปลงเป็นแอปพลิเคชันที่เชื่อถือได้ เช่น Google Chrome และ Microsoft Teams โดยในเบื้องหน้าจะติดตั้งแอปจริงเพื่อสร้างความน่าเชื่อถือ แต่เบื้องหลังจะรันโค้ดอันตรายแบบเงียบ ๆ แคมเปญนี้ยังใช้ Phantom DLL sideloading, reflective loading, process hollowing และ remote thread execution เพื่อฉีดโค้ดเข้าสู่ระบบอย่างแนบเนียน
การปิดระบบป้องกันและเลี่ยงการตรวจจับ
หนึ่งในเทคนิคที่น่ากังวลคือการใช้ ClipUp.exe พร้อม custom hooks เพื่อเขียนทับไฟล์สำคัญของ Defender ทำให้ระบบป้องกันถูกปิดแม้หลังรีบูต อีกทั้งยังใช้ WDAC policy ที่ไม่ได้เซ็นรับรอง เพื่อบล็อกโปรแกรมป้องกันไวรัสยอดนิยมในจีน เช่น 360 Total Security และ Huorong ซึ่งสะท้อนถึงการมุ่งเป้าโจมตีผู้ใช้ที่พูดภาษาจีนโดยเฉพาะ
เป้าหมายและ Payload สุดท้าย
เมื่อกระบวนการโหลดเสร็จสิ้น RoningLoader จะติดตั้ง Gh0st RAT รุ่นปรับปรุง ซึ่งสามารถทำงานได้หลายอย่าง เช่น การสั่งรันคำสั่งระยะไกล, keylogging, clipboard hijacking (รวมถึงการแทนที่ address ของกระเป๋าเงินคริปโต), และการส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ควบคุม การโจมตีนี้จึงไม่เพียงแต่เป็นการสอดแนม แต่ยังมีเป้าหมายเพื่อ ขโมยคริปโตเคอร์เรนซี อีกด้วย
สรุปสาระสำคัญ
Dragon Breath APT เปิดตัว RoningLoader
ใช้ Kernel Driver ที่เซ็นรับรองเพื่อฆ่าโปรเซสป้องกัน
ใช้ PPL abuse ปิด Windows Defender
เทคนิคการโจมตีขั้นสูง
Phantom DLL sideloading และ reflective loading
Process hollowing และ remote thread execution
การเลี่ยงการตรวจจับ
ใช้ ClipUp.exe เขียนทับไฟล์ Defender
WDAC policy ที่ไม่ได้เซ็นรับรอง บล็ก AV จีน
Payload สุดท้าย Gh0st RAT
Keylogging, clipboard hijacking, system profiling
ขโมยข้อมูลและ cryptocurrency
คำเตือนด้านความปลอดภัย
การใช้ driver ที่เซ็นรับรองจริงทำให้การตรวจจับยากขึ้น
ผู้ใช้ในจีนเสี่ยงสูงจากการบล็อก AV ยอดนิยม
Clipboard hijacking อาจทำให้สูญเสียเงินคริปโตทันที
https://securityonline.info/dragon-breath-apt-deploys-roningloader-using-kernel-driver-and-ppl-abuse-to-disable-windows-defender/
🐉 Dragon Breath APT เปิดตัว RoningLoader โจมตีขั้นสูง
กลุ่ม Dragon Breath APT (APT-Q-27) ถูกเปิดโปงโดย Elastic Security Labs ว่ากำลังดำเนินการแคมเปญมัลแวร์ใหม่ที่ใช้ RoningLoader ซึ่งเป็นตัวโหลดหลายขั้นตอนที่มีความซับซ้อนสูง จุดเด่นคือการใช้ Kernel Driver ที่เซ็นรับรองอย่างถูกต้อง และการ โจมตี Protected Process Light (PPL) เพื่อปิดการทำงานของ Windows Defender ได้อย่างมีประสิทธิภาพ
🛠️ เทคนิคการโจมตีที่ซับซ้อน
RoningLoader ถูกปล่อยผ่าน ตัวติดตั้งที่ถูกปลอมแปลงเป็นแอปพลิเคชันที่เชื่อถือได้ เช่น Google Chrome และ Microsoft Teams โดยในเบื้องหน้าจะติดตั้งแอปจริงเพื่อสร้างความน่าเชื่อถือ แต่เบื้องหลังจะรันโค้ดอันตรายแบบเงียบ ๆ แคมเปญนี้ยังใช้ Phantom DLL sideloading, reflective loading, process hollowing และ remote thread execution เพื่อฉีดโค้ดเข้าสู่ระบบอย่างแนบเนียน
🔒 การปิดระบบป้องกันและเลี่ยงการตรวจจับ
หนึ่งในเทคนิคที่น่ากังวลคือการใช้ ClipUp.exe พร้อม custom hooks เพื่อเขียนทับไฟล์สำคัญของ Defender ทำให้ระบบป้องกันถูกปิดแม้หลังรีบูต อีกทั้งยังใช้ WDAC policy ที่ไม่ได้เซ็นรับรอง เพื่อบล็อกโปรแกรมป้องกันไวรัสยอดนิยมในจีน เช่น 360 Total Security และ Huorong ซึ่งสะท้อนถึงการมุ่งเป้าโจมตีผู้ใช้ที่พูดภาษาจีนโดยเฉพาะ
🕵️ เป้าหมายและ Payload สุดท้าย
เมื่อกระบวนการโหลดเสร็จสิ้น RoningLoader จะติดตั้ง Gh0st RAT รุ่นปรับปรุง ซึ่งสามารถทำงานได้หลายอย่าง เช่น การสั่งรันคำสั่งระยะไกล, keylogging, clipboard hijacking (รวมถึงการแทนที่ address ของกระเป๋าเงินคริปโต), และการส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ควบคุม การโจมตีนี้จึงไม่เพียงแต่เป็นการสอดแนม แต่ยังมีเป้าหมายเพื่อ ขโมยคริปโตเคอร์เรนซี อีกด้วย
📌 สรุปสาระสำคัญ
✅ Dragon Breath APT เปิดตัว RoningLoader
➡️ ใช้ Kernel Driver ที่เซ็นรับรองเพื่อฆ่าโปรเซสป้องกัน
➡️ ใช้ PPL abuse ปิด Windows Defender
✅ เทคนิคการโจมตีขั้นสูง
➡️ Phantom DLL sideloading และ reflective loading
➡️ Process hollowing และ remote thread execution
✅ การเลี่ยงการตรวจจับ
➡️ ใช้ ClipUp.exe เขียนทับไฟล์ Defender
➡️ WDAC policy ที่ไม่ได้เซ็นรับรอง บล็ก AV จีน
✅ Payload สุดท้าย Gh0st RAT
➡️ Keylogging, clipboard hijacking, system profiling
➡️ ขโมยข้อมูลและ cryptocurrency
‼️ คำเตือนด้านความปลอดภัย
⛔ การใช้ driver ที่เซ็นรับรองจริงทำให้การตรวจจับยากขึ้น
⛔ ผู้ใช้ในจีนเสี่ยงสูงจากการบล็อก AV ยอดนิยม
⛔ Clipboard hijacking อาจทำให้สูญเสียเงินคริปโตทันที
https://securityonline.info/dragon-breath-apt-deploys-roningloader-using-kernel-driver-and-ppl-abuse-to-disable-windows-defender/
0 Comments
0 Shares
14 Views
0 Reviews
Thai