DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

被害者を誘うのは、トロイの木馬化された Telegram/LetsVPN/WhatsApp アプリであり、Android/iOS/Windows 用のバージョンが、中国の人々向けにローカライズされているようだ。これらのトロイの木馬化されたアプリは、BlackSEO やマルバタイジングにより宣伝されていると考えられる。


この脅威アクターによる、最近の攻撃を追跡した Sophos のアナリストによると、一連のキャンペーンの標的範囲は、中国/日本/台湾/香港/シンガポール/フィリピンに所在する、中国語を話す Windows ユーザーに集中しているとのことだ。

General attack diagram
General attack diagram (Sophos)
DLL サイドローディングの二重化

DLL サイドローディングとは、アプリケーションが必要とする DLL (Dynamic Link Library) ファイルを安全にロードする方法を、Windows が提供していないことを悪用するものであり、また、2010年から攻撃者たちが活用しているものでもある。

攻撃者たちは、アプリケーションのディレクトリに、必要とされる正規の DLL と同名の、悪意の DLL を配置する。そして、ユーザーがアプリケーションを起動すると、Windows はシステム・フォルダ内の正規 DLL ではなく、ローカル・フォルダ内の悪意の DLL を優先的に使用してしまう。

攻撃者が忍び込ませる DLL には、悪意のコードが含まれている。したがって、アプリケーションの起動によりロードされることで、攻撃者に特権を与えることも可能となり、また、ロードされている信頼できる署名付きのアプリケーションを悪用して、ホスト上でコマンドを実行することも可能になる。

このキャンペーンにおける被害者は、前述のアプリのインストーラを実行し、システム上に悪意のコンポーネントをドロップし、デスクトップのショートカットとシステムのスタートアップ・エントリを作成することになる。

そして被害者が、新しく作成されたデスクトップ・ショートカットを、最初のステップとして起動しようとすると、システム上では、アプリを起動する代わりに、以下のコマンドが実行される。

Command executed on the breached system
Command executed on the breached system (Sophos)

このコマンドは、”regsvr32.exe” (appR.exe) のリネーム版であり、”scrobj.dll” (appR.dll) を実行し、その入力として DAT ファイル (appR.dat) を提供する。この DAT には、スクリプト実行エンジン・ライブラリ (appR.dll) で実行するための JavaScript コードが含まれている。

この JavaScript コードは、フォアグラウンドで Telegram の UI を起動し、バックグラウンドでは各種のサイドローディング・コンポーネントをインストールする。

続いてインストーラは、クリーンな依存関係 (libexpat.dll) を用いて、第2段階のアプリケーションをロードし、中間攻撃のステップとして第2のクリーン・アプリケーションをロードする。

この攻撃のバリエーションでは、クリーン・アプリケーション “XLGame.exe” が “Application.exe” に改名され、第2段階のローダーも北京百度網絡科技有限公司が署名したクリーンな実行ファイルとなっている。

First attack variant diagram
First attack variant diagram (Sophos)

別のバリエーションでは、第2段階のクリーンローダーは “KingdomTwoCrowns.exe” であり、デジタル署名されていない。したがって Sophos は、実行チェーンの難読化以外のメリットを判断できなかったという。

この攻撃の3番目のバリエーションでは、第2段階のローダーは、HP Inc がデジタル署名したクリーンな実行ファイル “d3dim9.exe” である。

Executable signed by HP
Executable signed by HP (Sophos)

この、DLL サイドローディングの二重化技術により、検出回避/難読化/持続性が実現され、また、防御者が特定の攻撃パターンに適応し、効果的にネットワークを保護することが難しくなる。

最終的なペイロード

観測された全攻撃バリエーションにおいて、最終的なペイロード DLL は、txt ファイル (templateX.txt) から復号され、システム上で実行される。

このペイロードは、複数のコマンドをサポートするバックドアであり、システム再起動/レジストリキー変更/ファイル取得/クリップボード内容窃取/隠し CMD ウィンドウでのコマンドの実行などを可能にしている。

このバックドアは、MetaMask 暗号通貨ウォレットの Chrome エクステンションを標的とし、被害者からデジタル資産を盗み出すことを目的としている。

要約すると、DLL のサイドローディングは、ハッカーにとって依然として有効な攻撃手法であり、Microsoft と開発者が、10年以上に渡って対処できなかったものだ。

最新の APT-Q-27 の攻撃では、追跡が困難な DLL サイドローディングのバリエーションが観察されている。その結果として、よりステルス性の高い感染チェーンが実現される。

DLL サイドローディングだけでも厄介なものですが、そこの二重化というテクニックが加わっているようです。この APT-Q-27 こと Dragon Breath ですが、このブログには初登場ですが、かなりの技術力の持ち主なので、なんらかの中国由来の APT に関連しているのでしょう。そういえば、同じく 2023/05/03 のポスト「Earth Longzhi という中国のハッカー・グループ:DLL 悪用マルウェアでアジアを狙う」も、DLL サイドローディングでした。

%d bloggers like this: