Grup peretasan APT yang dikenal sebagai “Nafas Naga”, “Anjing Mata Emas”, atau “APT-Q-27” mendemonstrasikan tren baru menggunakan beberapa variasi kompleks dari teknik sideload DLL klasik untuk menghindari deteksi.
Variasi serangan ini dimulai dengan vektor awal yang memanfaatkan aplikasi bersih, paling sering Telegram, yang melakukan sideload payload tahap kedua, terkadang juga clean, yang pada gilirannya, melakukan sideload DLL loader malware berbahaya.
Iming-iming bagi para korban adalah trojanized Telegram, LetsVPN, atau aplikasi WhatsApp untuk Android, iOS, atau Windows yang seharusnya dilokalkan untuk orang-orang di China. Aplikasi trojan diyakini dipromosikan menggunakan BlackSEO atau malvertizing.
Berdasarkan Analis Sophos yang mengikuti serangan aktor ancaman baru-baru ini, ruang lingkup penargetan kampanye ini difokuskan pada pengguna Windows berbahasa Mandarin di China, Jepang, Taiwan, Singapura, Hong Kong, dan Filipina.
Sideload DLL ganda
DLL sideloading adalah teknik yang dieksploitasi oleh penyerang sejak 2010, memanfaatkan cara Windows yang tidak aman memuat file DLL (Dynamic Link Library) yang diperlukan oleh aplikasi.
Penyerang menempatkan DLL berbahaya dengan nama yang sama dengan DLL yang sah dan diperlukan dalam direktori aplikasi. Saat pengguna meluncurkan file yang dapat dieksekusi, Windows memprioritaskan DLL berbahaya lokal daripada yang ada di folder sistem.
DLL penyerang berisi kode berbahaya yang dimuat pada tahap ini, memberi penyerang hak istimewa atau menjalankan perintah di host dengan mengeksploitasi aplikasi tepercaya dan bertanda tangan yang memuatnya.
Dalam kampanye ini, para korban menjalankan penginstal dari aplikasi yang disebutkan, yang melepaskan komponen pada sistem dan membuat pintasan desktop dan entri pengaktifan sistem.
Jika korban mencoba meluncurkan pintasan desktop yang baru dibuat, yang merupakan langkah pertama yang diharapkan, alih-alih meluncurkan aplikasi, perintah berikut dijalankan di sistem.
Perintah menjalankan versi ‘regsvr32.exe’ (‘appR.exe’) yang diubah namanya untuk menjalankan versi ‘scrobj.dll’ (‘appR.dll’) yang diubah namanya dan memasok file DAT (‘appR.dat’) sebagai masukan untuk itu. DAT berisi kode JavaScript untuk dieksekusi oleh pustaka mesin eksekusi skrip (‘appR.dll’).
Kode JavaScript meluncurkan antarmuka pengguna aplikasi Telegram di latar depan sambil memasang berbagai komponen sideloading di latar belakang.
Selanjutnya, penginstal memuat aplikasi tahap kedua menggunakan dependensi bersih (‘libexpat.dll’) untuk memuat aplikasi bersih kedua sebagai tahap serangan perantara.
Dalam satu variasi serangan, aplikasi bersih “XLGame.exe” diganti namanya menjadi “Application.exe,” dan pemuat tahap kedua juga dapat dieksekusi bersih, ditandatangani oleh Beijing Baidu Netcom Science and Technology Co., Ltd.
Dalam variasi lain, pemuat bersih tahap kedua adalah “KingdomTwoCrowns.exe”, yang tidak ditandatangani secara digital, dan Sophos tidak dapat menentukan keuntungan apa yang ditawarkannya selain mengaburkan rantai eksekusi.
Dalam variasi serangan ketiga, pemuat tahap kedua adalah “d3dim9.exe” yang dapat dieksekusi bersih, yang ditandatangani secara digital oleh HP Inc.
Teknik “sideload DLL ganda” ini menghasilkan penghindaran, kebingungan, dan kegigihan, mempersulit pembela HAM untuk menyesuaikan diri dengan pola serangan tertentu dan melindungi jaringan mereka secara efektif.
Muatan terakhir
Dalam semua variasi serangan yang diamati, DLL muatan akhir didekripsi dari file txt (‘templateX.txt’) dan dijalankan di sistem.
Muatan ini adalah pintu belakang yang mendukung beberapa perintah, seperti reboot sistem, modifikasi kunci registri, mengambil file, mencuri konten clipboard, menjalankan perintah pada jendela CMD tersembunyi, dan banyak lagi.
Pintu belakang juga menargetkan ekstensi Chrome dompet cryptocurrency MetaMask, yang bertujuan untuk mencuri aset digital dari korban.
Singkatnya, sideload DLL tetap menjadi metode serangan yang efektif untuk peretas dan yang gagal diatasi oleh Microsoft dan pengembang selama lebih dari satu dekade.
Dalam serangan APT-Q-27 terbaru, analis mengamati variasi sideload DLL yang sulit untuk dilacak; karenanya mereka mencapai rantai infeksi yang lebih tersembunyi.
