Elastic Security Labs đã phát hiện một chiến dịch tinh vi triển khai loader mới, được đặt tên là mã độc RONINGLOADER. Mã độc này vũ khí hóa các driver kernel được ký hợp lệ để vô hiệu hóa Microsoft Defender và các công cụ Endpoint Detection and Response (EDR) một cách có hệ thống.
Chiến Dịch Tấn Công APT Dragon Breath và Sự Ra Đời của RONINGLOADER
Chiến dịch này được gán cho nhóm Dragon Breath APT (APT-Q-27), thể hiện một sự tiến hóa đáng kể về mức độ tinh vi trong các cuộc tấn công mạng. Mục tiêu chính là người dùng nói tiếng Trung Quốc thông qua các trình cài đặt trojan hóa, mạo danh phần mềm hợp pháp như Google Chrome và Microsoft Teams.
Hoạt động này đánh dấu một bước tiến rõ rệt so với các hoạt động trước đây của Dragon Breath được ghi nhận từ năm 2022 đến 2023. Điều này cho thấy khả năng kỹ thuật và khả năng thích ứng ngày càng tăng của tác nhân đe dọa.
Việc khám phá mã độc RONINGLOADER diễn ra sau nghiên cứu vào tháng 8 năm 2025, chi tiết các phương pháp lạm dụng Protected Process Light (PPL) để tắt các công cụ bảo mật điểm cuối. Elastic Security Labs đã phát triển các quy tắc phát hiện hành vi để phản ứng và sau đó xác định các hoạt động khai thác tích cực trong thực tế thông qua phân tích telemetry.
Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo chuyên sâu từ Elastic Security Labs.
Kỹ Thuật Khai Thác Nâng Cao để Vô Hiệu Hóa EDR
Mã độc triển khai cơ chế phân phối nhiều giai đoạn phức tạp. Các kỹ thuật bao gồm lạm dụng Protected Process Light (PPL), chính sách Windows Defender Application Control (WDAC) tùy chỉnh và driver chế độ kernel.
Mục đích chính là trung hòa các giải pháp bảo mật điểm cuối phổ biến trên thị trường Trung Quốc. Đây là mục tiêu chính của mã độc RONINGLOADER, đặc biệt nhắm vào việc vô hiệu hóa EDR và các sản phẩm antivirus khác.
Cơ Chế Lây Nhiễm Ban Đầu và Chuỗi Tấn Công
Vector lây nhiễm ban đầu của mã độc RONINGLOADER sử dụng Nullsoft Scriptable Install System (NSIS), một framework cài đặt hợp pháp nhưng thường xuyên bị lạm dụng bởi các tác nhân độc hại. Các trình cài đặt độc hại sử dụng kiến trúc NSIS lồng ghép.
Chúng đóng gói cả phần mềm hợp pháp cùng với các payload độc hại để duy trì sự che đậy trong quá trình thực thi. Điều này giúp nạn nhân khó nhận ra sự hiện diện của mã độc.
Chuỗi tấn công của mã độc RONINGLOADER hoạt động thông qua bốn giai đoạn riêng biệt:
- Giai đoạn Một: Trình cài đặt trojan hóa ban đầu thả một DLL độc hại và shellcode đã được mã hóa vào hệ thống của nạn nhân.
- Giai đoạn Hai: Khi thực thi với quyền nâng cao, giai đoạn này thực hiện trinh sát để xác định các tiến trình bảo mật đang chạy. Sau đó, nó bắt đầu chấm dứt có hệ thống các sản phẩm antivirus.
Driver Kernel Được Ký Hợp Lệ để Vô Hiệu Hóa Bảo Mật
RONINGLOADER lợi dụng một driver kernel có chữ ký hợp lệ tên là ollama.sys. Driver này được cấp bởi Kunming Wuqi E-commerce Co., Ltd. với chứng chỉ có giá trị đến tháng 2 năm 2026. Đây là một điểm đáng chú ý vì driver có chữ ký tạo ra mức độ tin cậy cao.
Driver này được sử dụng để chấm dứt các tiến trình bảo mật từ chế độ kernel, vượt qua các biện pháp bảo vệ tiến trình chế độ người dùng. Khi được gọi, chức năng của driver đọc nội dung của tệp tp.png từ đĩa.
Sau đó, nó giải mã dữ liệu này bằng một thuật toán đơn giản liên quan đến cả thao tác Right Rotate (ROR) và XOR. Driver này xử lý các yêu cầu IOCTL để tiêu diệt các tiến trình theo PID.
Đáng chú ý, các nhà nghiên cứu của Elastic đã phát hiện 71 nhị phân được ký khác sử dụng cùng một chứng chỉ này. Điều này gợi ý khả năng chứng chỉ đã bị xâm phạm hoặc được phân phối có chủ đích cho các mục đích độc hại bởi nhóm tấn công.
Các Biện Pháp Nhắm Mục Tiêu Cụ Thể để Né Tránh Phát Hiện
Ngoài việc chấm dứt tiến trình dựa trên driver, mã độc RONINGLOADER còn triển khai nhiều kỹ thuật để vô hiệu hóa phần mềm bảo mật một cách hiệu quả:
- Lạm dụng PPL: Mã độc nhắm mục tiêu cụ thể vào Microsoft Defender. Nó lợi dụng ClipUp.exe để ghi đè nhị phân MsMpEng.exe bằng dữ liệu rác, vô hiệu hóa Windows Defender ngay cả sau khi khởi động lại hệ thống.
- Chính sách WDAC tùy chỉnh: Các chính sách WDAC không ký tùy chỉnh được triển khai để chặn rõ ràng việc thực thi các tiến trình của Qihoo 360 Total Security (360rp.exe, 360sd.exe) và Huorong Security (ARPProte.exe). Điều này ngăn chặn chúng hoạt động hoàn toàn. Cách tiếp cận này thể hiện việc nhắm mục tiêu chiến lược vào các giải pháp bảo mật phổ biến trong bối cảnh đe dọa ở Trung Quốc.
- Phantom DLL Side-loading: Kỹ thuật này được sử dụng để tiêm mã độc vào các tiến trình hợp pháp, khó bị phát hiện hơn.
- Thread Pool Injection: Một phương pháp khác để thực thi mã độc trong bối cảnh của một tiến trình đáng tin cậy mà không bị hệ thống nghi ngờ.
- Thao túng tường lửa: Nhằm cô lập phần mềm bảo mật khỏi giao tiếp mạng, hạn chế khả năng cập nhật hoặc báo cáo về các hoạt động độc hại.
Các kỹ thuật lạm dụng PPL và driver kernel được sử dụng bởi mã độc RONINGLOADER cho thấy mức độ tinh vi và khả năng né tránh cao.
Giai đoạn Cuối và Payload gh0st RAT
- Giai đoạn Ba và Bốn: Thực hiện việc tiêm payload cuối cùng là một phiên bản sửa đổi của gh0st RAT (Remote Access Trojan) mã nguồn mở. Payload này được tiêm vào các tiến trình hệ thống đáng tin cậy như TrustedInstaller.exe hoặc elevation_service.exe để duy trì sự bền bỉ.
Mã độc quét danh sách các tiến trình đang chạy để tìm kiếm các giải pháp antivirus cụ thể. Nó kiểm tra chống lại một danh sách tên tiến trình được mã hóa cứng và đặt cờ boolean tương ứng thành “True” nếu tìm thấy bất kỳ tiến trình nào.
Phần mềm cấy ghép duy trì giao tiếp C2 (Command and Control) qua các kênh TCP được mã hóa. Nó triển khai các khả năng ghi nhật ký gõ phím (keystroke logging), chiếm quyền clipboard (clipboard hijacking) và giám sát ví tiền điện tử.
Nó theo dõi cụ thể các tương tác ví MetaMask và việc sử dụng ứng dụng Telegram. Điều này gợi ý rằng các nạn nhân có thể bao gồm các mục tiêu liên quan đến tiền điện tử và tài chính, cho thấy mục tiêu cụ thể của nhóm Dragon Breath.
Tác Động và Ý Nghĩa của Mã Độc RONINGLOADER
Việc khám phá mã độc RONINGLOADER đại diện cho một sự leo thang đáng lo ngại trong khả năng của các nhóm tấn công APT. Đặc biệt là về việc lạm dụng các tính năng hợp pháp của Windows và các driver được ký để vô hiệu hóa sản phẩm bảo mật.
Các tổ chức hoạt động tại thị trường Trung Quốc phải đối mặt với rủi ro gia tăng từ mối đe dọa đang phát triển này. Sự tinh vi trong các kỹ thuật né tránh và vô hiệu hóa EDR của mã độc RONINGLOADER, cùng với việc sử dụng driver kernel hợp pháp, khiến việc phát hiện và phòng thủ trở nên cực kỳ khó khăn.
Điều này đòi hỏi các biện pháp bảo mật mạnh mẽ và khả năng giám sát liên tục để chống lại các cuộc tấn công phức tạp như vậy. Để chống lại mã độc RONINGLOADER và các mối đe dọa tương tự, việc cập nhật liên tục các quy tắc phát hiện và tăng cường bảo mật điểm cuối là rất quan trọng.
