СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.11.2025
#Dev#ИБ#Инфра

RONINGLOADER (APT DragonBreath): загрузчик gh0st RAT, обход WDAC

RONINGLOADER — сложный многоэтапный загрузчик, связанный с APT DragonBreath (APT-Q-27), который разворачивает обновлённую версию gh0st RAT. Согласно выводам Elastic Security Labs, злоумышленники используют целый набор тактик и техник для обхода современных средств защиты и обеспечения устойчивого присутствия в атакованных средах.

Ключевые моменты отчёта

  • Распространение через троянские инсталляторы NSIS, замаскированные под законные приложения (например, Google Chrome и Microsoft Teams).
  • Использование подписанных драйверов и легитимного ПО для повышения доверия и обхода защиты.
  • Многоступенчатая цепочка действий, нацеленная на вывод из строя средств безопасности и обеспечение устойчивого соединения с сервером управления (C2).
  • Конечная полезная нагрузка — модифицированная версия gh0st RAT — поддерживает функции эксфильтрации и удалённого управления.

«Недавние выводы Elastic Security Labs показывают, что вредоносное ПО использует троянские программы установки NSIS, замаскированные под законные приложения, такие как Google Chrome и Microsoft Teams.»

Цепочка заражения и распространения

Изначальная компрометация начинается с вредоносного установщика, который содержит как доброкачественные, так и вредоносные исполняемые файлы. Такое сочетание облегчает обход статического анализа и повышает шанс успешной установки у пользователя.

Механизмы повышения привилегий и подрыва безопасности

После запуска экземпляр вредоносного ПО проверяет наличие административных прав с помощью API GetTokenInformation и, при необходимости, использует команду runas для повышения привилегий. При повышении прав RONINGLOADER нацелен на нейтрализацию средств защиты:

  • подтверждает завершение процессов антивирусного ПО (в частности, Qihoo 360 Total Security);
  • восстанавливает или изменяет настройки брандмауэра, чтобы нарушить логирование или связь со средствами безопасности;
  • пишет пользовательские файлы политик для обхода WDAC (Windows Defender Application Control);
  • генерирует batch-скрипты, создающие правила брандмауэра, блокирующие сетевые подключения определённых процессов безопасности;
  • злоупотребляет механизмом Protected Process Light (PPL) для отключения защитника Windows.

Механизмы внедрения и поведение

RONINGLOADER использует несколько библиотек DLL для управления внедрением полезной нагрузки в другие процессы. Вредоносное ПО применяет разнообразные интерфейсы командной строки и shell-команды для выполнения своих действий и маскировки активности.

Конечная полезная нагрузка: модифицированный gh0st RAT

  • получает и поддерживает связь с сервером управления (C2), регулярно отправляя маяки;
  • передаёт структурированные данные, включая информацию о нажатиях клавиш (кейлоггер) и данные буфера обмена;
  • реализует возможность перехвата и замены строк в буфере обмена по заранее заданным правилам, что демонстрирует адаптивную тактику злоумышленников;
  • обладает возможностями эксфильтрации данных и удалённого управления.

Соответствие MITRE ATT&CK и обнаружение

Действия RONINGLOADER демонстрируют продвинутые техники, согласованные с платформой MITRE ATT&CK, включая повышение привилегий, отключение средств безопасности, внедрение в процессы и эксфильтрацию данных. Для обнаружения и идентификации угрозы были разработаны правила YARA, позволяющие выделять характерные признаки семейства и сопутствующих операций.

Почему это представляет угрозу

Особая опасность RONINGLOADER заключается в комбинации использования легитимного ПО и подписанных драйверов вместе с механизмами обхода современных контролей (WDAC, PPL, изменения брандмауэра). Такая модель распространения снижает эффективность традиционных средств защиты и усложняет обнаружение на ранних стадиях.

Вывод

RONINGLOADER представляет собой пример того, как APT-группировки эволюционируют, интегрируя легальные компоненты и сложные техники обхода для долговременного контроля над целями. Наличие разработанных правил YARA даёт инструменты для детектирования, однако сложность и адаптивность кампании требуют повышенного внимания со стороны команд по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: