Новая вредоносная кампания RONINGLOADER атакует китайских пользователей через поддельные установщики

Эксперты по кибербезопасности выявили новую кампанию, связанную с APT-группой Dragon Breath (известной также как APT-Q-27). Злоумышленники используют троянизированные установщики NSIS, маскирующиеся под легитимное программное обеспечение, включая Google Chrome и Microsoft Teams. Основной целевой аудиторией стали китайскоязычные пользователи, что демонстрирует эволюцию тактик этой группы по сравнению с ранее задокументированными операциями 2022-2023 годов.

Многоступенчатый загрузчик, получивший название RONINGLOADER, демонстрирует сложный подход к нейтрализации систем защиты. В частности, используются подписанные драйверы для завершения процессов антивирусных решений. Один из таких драйверов, ollama.sys, имеет действительную цифровую подпись от Kunming Wuqi E-commerce Co., Ltd. с сроком действия с февраля 2025 по февраль 2026 года. При этом анализ показал разнообразие артефактов компиляции среди образцов, что может указывать на утечку сертификата.

Кампания использует несколько методов для обхода систем безопасности. Во-первых, применяется злоупотребление механизмом Protected Process Light для отключения Microsoft Defender. Во-вторых, загружается специальная политика WDAC, блокирующая исполняемые файлы популярных китайских антивирусных решений 360 Total Security и Huorong. Кроме того, используется техника инъекции кода через пулы потоков и фантомные DLL-библиотеки.

Интересной особенностью является наличие избыточного кода в вредоносной программе. Например, обнаружены попытки подключения к локальному порту 5555 и обращение к домену baidu.com, которые не выполняют значимых функций. Вероятно, это свидетельствует о незавершенной разработке или сохраненном коде от предыдущих версий.

Процесс заражения начинается с троянизированного NSIS-установщика, который содержит два вложенных установщика. Один устанавливает легитимное программное обеспечение для маскировки, а второй запускает вредоносную цепочку выполнения. Основная нагрузка скрыта в зашифрованном файле tp.png, который расшифровывается с использованием комбинации операций ROR и XOR.

Для повышения привилегий вредоносная программа использует команду runas, а затем проверяет наличие процессов популярных антивирусных решений. Список целевых процессов включает продукты Kingsoft, Tencent, Qihoo 360 и Microsoft Defender. Для каждого решения применяется индивидуальный подход к нейтрализации.

Особого внимания заслуживает метод борьбы с Qihoo 360 Total Security. Сначала программа блокирует сетевое соединение через настройки брандмауэра, затем внедряет шелл-код в процесс службы теневого копирования томов. Этот код использует подписанный драйвер для принудительного завершения антивирусных процессов. После подтверждения уничтожения защиты настройки брандмауэра восстанавливаются, вероятно, для скрытия следов активности.

Финальная нагрузка представляет собой модифицированную версию gh0st RAT с незначительными изменениями по сравнению с образцами 2022-2023 годов. Троян использует XOR-шифрование для скрытия адреса C2-сервера и порта, а коммуникация осуществляется через raw TCP-сокеты с двусторонним шифрованием сообщений.

Бэкдор обладает широким функционалом, включая выполнение команд, загрузку и запуск файлов, кражу данных из буфера обмена и ведение кейлоггера. Захваченная информация сохраняется в файл %ProgramData%\microsoft.dotnet.common.log с автоматическим ротацией при превышении размера 50 МБ. Отдельно реализован механизм подмены содержимого буфера обмена, который можно настраивать удаленно через C2-канал.

Обнаруженная кампания демонстрирует растущую сложность инструментов, используемых киберпреступниками. Сочетание легитимных подписанных компонентов, техник злоупотребления доверенными процессами и целенаправленной нейтрализации систем защиты представляет серьезную угрозу для корпоративных и частных пользователей. Специалисты по безопасности рекомендуют проявлять особую осторожность при установке программного обеспечения и регулярно обновлять системы защиты.

Domains

• qaqkongtiao.com

SHA256

• 1613a913d0384cbb958e9a8d6b00fffaf77c27d348ebc7886d6c563a6f22f2b7
• 1c1528b546aa29be6614707cbe408cb4b46e8ed05bf3fe6b388b9f22a4ee37e2
• 2515b546125d20013237aeadec5873e6438ada611347035358059a77a32c54f5
• 33b494eaaa6d7ed75eec74f8c8c866b6c42f59ca72b8517b3d4752c3313e617c
• 395f835731d25803a791db984062dd5cfdcade6f95cc5d0f68d359af32f6258d
• 3dd470e85fe77cd847ca59d1d08ec8ccebe9bd73fd2cf074c29d87ca2fd24e33
• 4d5beb8efd4ade583c8ff730609f142550e8ed14c251bae1097c35a756ed39e6
• 82794015e2b40cc6e02d3c1d50241465c0cf2c2e4f0a7a2a8f880edaee203724
• 96f401b80d3319f8285fa2bb7f0d66ca9055d349c044b78c27e339bcfb07cdf0
• c65170be2bf4f0bd71b9044592c063eaa82f3d43fcbd8a81e30a959bcaad8ae5
• da2c58308e860e57df4c46465fd1cfc68d41e8699b4871e9a9be3c434283d50b
• fc63f5dfc93f2358f4cba18cbdf99578fff5dac4cdd2de193a21f6041a0e01bc
• fd4dd9904549c6655465331921a28330ad2b9ff1c99eb993edf2252001f1d107