直到現在,傳統的側載 DLL 程式庫(DLL Sideloading)技術一直是駭客發動有效攻擊的手法之一,也是微軟和許多開發人員十多年來未能解決的棘手問題。如今名為「Dragon Breath」的 APT 進階持續威脅駭客組織(另有 APT-Q-27 與 Golden Eye Dog 等別稱)在專門鎖定中國、台灣、香港、日本、新加坡和菲律賓等地中文 Windows 用戶的全新攻擊中,竟然採用了不同變種的雙重側載惡意程式庫(Double DLL Sideloading),成功實現更隱蔽的感染鏈,讓安全防護機制更難以追蹤。
「Dragon Breath」所運用的全新雙重側載惡意程式庫手法,會分成兩個階段進行惡意側載。根據 Sophos 的一份報告指出,該 APT 駭客組織專門利用木馬化的 Telegram、WhatsApp 或 LetsVPN 等應用程式來啟動第二階段惡意負載之下載,該行為反過來又會再次側載內含惡意軟體下載器的惡意 DLL 程式庫。
使用者一旦執行了該 App 的安裝程式就會導致惡意元件的植入與桌面捷徑的部署,使用者若再點取該捷徑便會自動執行某命令,該命令會執行「appR.exe」,進而在載入第二階段的應用程式之前執行「appR.Dll」。
可怕的是,Dragon Breath 駭客組織採用了三種不同的雙重惡意程式庫側載技術來規避安全偵測,這一切會導致支援大量命令之最終負載 DLL 的解密,駭客得以竊取 Google Chrome 之中 MetaMask 加密貨幣錢包擴充功能裡的數位資產。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
