Elastic Security Labs, Microsoft Defender’ı sistematik olarak devre dışı bırakmak ve uç nokta algılama ve yanıt (EDR) araçlarından kaçınmak için yasal olarak imzalanmış çekirdek sürücülerini silah haline getiren, RONINGLOADER adı verilen yeni tanımlanan bir yükleyicinin dağıtıldığı karmaşık bir kampanyayı ortaya çıkardı.
Dragon Breath APT grubuna (APT-Q-27) atfedilen bu kampanya, Google Chrome ve Microsoft Teams de dahil olmak üzere meşru yazılım görünümüne bürünen truva atı haline getirilmiş yükleyiciler yoluyla öncelikli olarak Çince konuşan kullanıcıları hedef alarak, saldırı karmaşıklığında önemli bir evrimi ortaya koyuyor.
Kötü amaçlı yazılım, Çin pazarındaki popüler uç nokta güvenlik çözümlerini etkisiz hale getirmek için Korumalı İşlem Işığının (PPL) kötüye kullanımından, özel Windows Defender Uygulama Denetimi (WDAC) politikalarından ve çekirdek modu sürücülerinden yararlanan karmaşık, çok aşamalı bir dağıtım mekanizması kullanıyor.
Bu kampanya, 2022 ile 2023 yılları arasında belgelenen daha önceki Dragon Breath faaliyetlerine göre açık bir ilerlemeye işaret ediyor ve tehdit aktörünün artan teknik yeteneklerini ve uyarlanabilirliğini ortaya koyuyor.
RONINGLOADER’ın keşfi, uç nokta güvenlik araçlarını kapatmak için PPL’nin kötüye kullanılmasına yönelik yöntemleri ayrıntılarıyla anlatan Ağustos 2025 tarihli araştırmayı takip etti.
Elastic Security Labs, yanıt olarak davranışsal tespit kuralları geliştirdi ve ardından telemetri analizi yoluyla vahşi ortamda aktif istismarı belirledi.
İlk enfeksiyon vektörü, meşru ancak sıklıkla kötüye kullanılan bir yükleyici çerçevesi olan Nullsoft Komut Dosyalı Kurulum Sistemini (NSIS) kullanır. Kötü niyetli yükleyiciler, yürütme sırasında aldatmayı sürdürmek için her iki yasal yazılımı da kötü amaçlı yüklerle bir araya getiren iç içe geçmiş bir NSIS mimarisi kullanır.
Çok Aşamalı Kaçınma Mimarisi
Saldırı zinciri dört farklı aşamadan geçer. Birinci Aşama, kötü amaçlı bir DLL ve şifrelenmiş kabuk kodunu bırakan, truva atı haline getirilmiş ilk yükleyiciyi içerir.
Yükseltilmiş ayrıcalıklarla yürütüldükten sonra İkinci Aşama, çalışan güvenlik süreçlerini belirlemek için keşif gerçekleştirir ve Microsoft Defender, Kingsoft Internet Security, Tencent PC Manager, Qihoo 360 Total Security ve Huorong Security dahil olmak üzere antivirüs ürünlerinin sistematik olarak sonlandırılmasını başlatır.
RONINGLOADER, güvenlik süreçlerini çekirdek modundan sonlandırmak için Kunming Wuqi E-commerce Co., Ltd. tarafından Şubat 2026’ya kadar geçerli bir sertifikaya sahip olan ollama.sys adlı imzalı bir çekirdek sürücüsünden yararlanır.
Bu fonksiyon çağrıldığında içeriği okur. tp.png Dosyayı diskten alır, ardından hem Sağa Döndürme (ROR) hem de XOR işlemini içeren basit bir algoritma kullanarak bu verilerin şifresini çözer.
Sürücü, kullanıcı modu işlem korumalarını atlayarak IOCTL’nin işlemleri PID ile sonlandırma isteklerini yönetir. Dikkat çekici bir şekilde, Elastic araştırmacıları aynı sertifikayı kullanan 71 ek imzalı ikili dosya keşfetti; bu da potansiyel sertifika ihlali veya kötü amaçlı amaçlarla kasıtlı dağıtıma işaret ediyor.
Kötü amaçlı yazılım, birden fazla aşamada yedek sonlandırma teknikleri uygular. RONINGLOADER, sürücü tabanlı süreç öldürmenin ötesinde, güvenlik yazılımını ağ iletişiminden yalıtmak için hayalet DLL yandan yükleme, iş parçacığı havuzu enjeksiyon teknikleri ve güvenlik duvarı manipülasyonunu kullanır.
En önemlisi, özellikle Microsoft Defender’ı hedef alan bir PPL kötüye kullanma tekniği uyguluyor; ClipUp.exe’den yararlanarak MsMpEng.exe ikili dosyasının üzerine gereksiz verileri yazıyor ve sistem yeniden başlatıldıktan sonra bile Windows Defender’ı etkili bir şekilde devre dışı bırakıyor.
Özel imzasız WDAC ilkeleri, Qihoo 360 Total Security (360rp.exe, 360sd.exe) ve Huorong Security (ARPProte.exe) işlemlerinin yürütülmesini açıkça engellemek ve bunların çalışmasını tamamen engellemek için dağıtılır. Bu yaklaşım, Çin tehdit ortamında yaygın olan güvenlik çözümlerinin stratejik olarak hedeflendiğini göstermektedir.
Nihai Yük ve Kalıcılık
Üçüncü ve Dördüncü Aşama, açık kaynak gh0st RAT’ın değiştirilmiş bir versiyonunun son veri yükünün TrustedInstaller.exe veya Height_service.exe dahil güvenilir sistem süreçlerine enjeksiyonunu düzenler.
Kötü amaçlı yazılım daha sonra belirli antivirüs çözümleri için çalışan işlemlerin bir listesini tarar. Sabit kodlanmış işlem adları listesini kontrol eder ve eğer bulunursa karşılık gelen boole bayrağını “Doğru” olarak ayarlar.
İmplant, şifrelenmiş TCP kanalları üzerinden C2 iletişimini sürdürüyor ve tuş vuruşu kaydı, pano ele geçirme ve kripto para cüzdanı izleme özelliklerini uyguluyor.
MetaMask cüzdan etkileşimlerini ve Telegram uygulaması kullanımını açıkça izliyor ve kurbanların kripto para birimi ve finans odaklı hedefler içerebileceğini öne sürüyor.
RONINGLOADER’ın keşfi, özellikle meşru Windows özelliklerinin ve güvenlik ürününün etkisiz hale getirilmesi için imzalı sürücülerin kötüye kullanılmasıyla ilgili olarak APT yeteneklerinde endişe verici bir artışı temsil ediyor. Çin pazarlarında faaliyet gösteren kuruluşlar, gelişen bu tehdit nedeniyle artan riskle karşı karşıyadır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.