Sicurezza Informatica
Gruppo APT Dragon Breath utilizza la tecnica Double-Clean-App per colpire l’industria del gioco d’azzardo
La sofisticata strategia del gruppo Dragon Breath prende di mira il settore del gioco d’azzardo online con una nuova tecnica che aggiunge ulteriori livelli di complessità.
Un attore di minaccia avanzata persistente (APT) noto come Dragon Breath è stato osservato mentre adotta un nuovo meccanismo di side-loading DLL, aggiungendo nuovi livelli di complessità ai suoi attacchi.
Il gruppo Dragon Breath e la sua evoluzione
L’operazione Dragon Breath, nota anche come APT-Q-27 e Golden Eye, è stata documentata per la prima volta da QiAnXin nel 2020, descrivendo una campagna di watering hole creata per ingannare gli utenti e indurli a scaricare un installer di Windows per Telegram infetto da un trojan. Una campagna successiva scoperta dalla società cinese di cybersecurity nel maggio 2022 ha evidenziato l’uso continuo degli installer di Telegram come esca per distribuire payload aggiuntivi come gh0st RAT. Si ritiene che Dragon Breath faccia parte di un’entità più ampia chiamata Miuuti Group, con l’avversario caratterizzato come un’entità “cino-parlante” che prende di mira le industrie del gioco e del gioco d’azzardo online, unendosi ad altri gruppi di attività cinesi come Dragon Castling, Dragon Dance e Earth Berberoka.
La tecnica Double-Clean-App
La strategia di side-loading DLL double-dip, secondo Sophos, è stata utilizzata in attacchi contro utenti nelle Filippine, Giappone, Taiwan, Singapore, Hong Kong e Cina. Tuttavia, questi tentativi di intrusione non hanno avuto successo. Il vettore iniziale è un sito web fasullo che ospita un installer per Telegram; una volta aperto, crea un collegamento sul desktop progettato per caricare componenti dannosi sullo sfondo al momento dell’avvio, mostrando contemporaneamente all’utente l’interfaccia dell’app Telegram. Inoltre, si ritiene che l’avversario abbia creato diverse varianti dello schema in cui installer manomessi per altre app, come LetsVPN e WhatsApp, vengono utilizzati per avviare la catena di attacco. La fase successiva prevede l’utilizzo di una seconda applicazione pulita come intermediario per evitare il rilevamento e caricare il payload finale tramite una DLL dannosa. Il payload funziona come un backdoor in grado di scaricare ed eseguire file, cancellare log degli eventi, estrarre e impostare contenuti degli appunti, eseguire comandi arbitrari e rubare criptovalute dall’estensione MetaMask wallet per Google Chrome.
L’efficacia della DLL side-loading
La side-loading DLL, identificata per la prima volta nei prodotti Windows nel 2010 ma diffusa su molteplici piattaforme, continua ad essere una tattica efficace e attraente per gli attori delle minacce. Gabor Szappanos, ricercatore di Sophos, afferma: “Questa tecnica double-clean-app impiegata dal gruppo Dragon Breath, che prende di mira un settore utente (gioco d’azzardo online) che è stato tradizionalmente meno scrutinato dai ricercatori di sicurezza, rappresenta la continua vitalità di questo approccio.”
In sintesi, il gruppo APT Dragon Breath sta adottando una nuova tecnica, la Double-Clean-App, per colpire l’industria del gioco d’azzardo online. Utilizzando una strategia di side-loading DLL più avanzata, il gruppo è riuscito a rendere più complessi i propri attacchi e a evitare il rilevamento. Tuttavia, la difesa efficace contro queste minacce richiede una maggiore attenzione da parte dei ricercatori di sicurezza e un impegno congiunto per combattere e prevenire attacchi futuri.