Siber Güvenlik, Tehdit Analizi

Dragon Breath: RONINGLOADER ile Güvenlik Yazılımlarını Devre Dışı Bırakan ve Gh0st RAT Dağıtan Çok Aşamalı Saldırı

Kasım 17, 2025Kasım 17, 2025Tarafından Cybernews.TR
1
Dragon Breath: RONINGLOADER ile Güvenlik Yazılımlarını Devre Dışı Bırakan ve Gh0st RAT Dağıtan Çok Aşamalı Saldırı

Dragon Breath adlı tehdit aktörü, RONINGLOADER olarak adlandırılan çok aşamalı bir yükleyici kullanarak, Gh0st RAT’ın değiştirilmiş bir versiyonunu hedef sistemlere ulaştırıyor. Elastic Security Labs’in raporlarına göre, bu kampanya özellikle Çince konuşan kullanıcıları hedef alıyor ve Google Chrome ile Microsoft Teams gibi yaygın kullanılan uygulamaların kılığında trojanlaştırılmış NSIS yükleyicileriyle yayılıyor.

Bulaşma Zincirinde Gelişmiş Kaçınma Teknikleri

Güvenlik araştırmacıları Jia Yu Chan ve Salim Bitam, Dragon Breath’in bulaşma zincirinde, Çin pazarında yaygın olan uç nokta güvenlik çözümlerini etkisiz hale getirmek için çok sayıda yedekleme ve karmaşık kaçınma yöntemleri kullandığını belirtiyor. Bu yöntemler arasında, meşru imzalı sürücülerin yüklenmesi, özel WDAC (Windows Defender Application Control) politikalarının uygulanması ve Microsoft Defender ikili dosyasının Protected Process Light (PPL) suistimaliyle değiştirilmesi yer alıyor. Bu teknikler, özellikle Windows 10 ve 11 sistemlerinde güvenlik katmanlarını aşmak için tasarlanmış olup, MCP istemcisi gibi gelişmiş yönetim araçlarının devre dışı bırakılmasına benzer bir etki yaratıyor.

RONINGLOADER’ın İşleyişi ve Güvenlik Süreçlerine Müdahalesi

RONINGLOADER, enfekte sistemde kullanıcı alanı kancalarını kaldırmak için yeni bir “ntdll.dll” yükleyerek sistem çağrılarını manipüle ediyor ve runas komutu ile ayrıcalık yükseltmeye çalışıyor. Ayrıca, Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager ve Qihoo 360 Total Security gibi sabit kodlu antivirüs çözümlerinin süreçlerini tespit edip sonlandırıyor. Qihoo 360 Total Security ile ilişkili süreçlerde ise farklı bir yöntem izleniyor: Güvenlik duvarı ayarları değiştirilerek tüm ağ trafiği engelleniyor, SeDebugPrivilege jetonu alınarak Volume Shadow Copy (VSS) servisine shellcode enjekte ediliyor ve “ollama.sys” adlı imzalı sürücü yüklenerek hedef süreçler sonlandırılıyor. Bu süreçler, konteynerlerde rastgele açılan SSH portları gibi sistemdeki arka kapıların gizlenmesine benzer şekilde, iz bırakmadan etkisiz hale getiriliyor.

Yükleyicinin Son Aşaması ve Gh0st RAT’ın Dağıtımı

RONINGLOADER, Kullanıcı Hesabı Denetimi (UAC) atlayarak ve Qihoo 360 güvenlik yazılımıyla ilişkili ağ bağlantılarını engellemek için güvenlik duvarı kuralları oluşturuyor. Ayrıca, Windows Hata Raporlama sistemi “WerFaultSecure.exe” üzerinden PPL suistimali yaparak Microsoft Defender Antivirus’u devre dışı bırakıyor. WDAC politikalarını hedef alarak Çinli güvenlik sağlayıcıları Qihoo 360 Total Security ve Huorong Security’yi engelleyen kötü amaçlı politikalar oluşturuyor. Nihai hedef olarak, “regsvr32.exe” adlı meşru Windows ikili dosyasına sahte bir DLL enjekte ederek “TrustedInstaller.exe” veya “elevation_service.exe” gibi yüksek ayrıcalıklı süreçlerde ikinci aşama yükü başlatılıyor. Bu yük, değiştirilmiş Gh0st RAT versiyonu olup, Windows Kayıt Defteri anahtarlarını yapılandırma, olay günlüklerini temizleme, dosya indirme ve çalıştırma, pano verilerini değiştirme, shellcode enjekte etme gibi gelişmiş yeteneklere sahip. Ayrıca, tuş vuruşlarını, pano içeriğini ve aktif pencere başlıklarını yakalayan modüller içeriyor.

Marka Taklit Kampanyaları ve Genişleyen Hedef Kitle

Palo Alto Networks Unit 42’nin raporuna göre, Gh0st RAT dağıtımı için iki büyük marka taklidi kampanyası tespit edildi. Şubat-Mart 2025 arasında gerçekleşen “Kampanya Trio”, i4tools, Youdao ve DeepSeek gibi platformları taklit ederken, Mayıs 2025’te ortaya çıkan “Kampanya Chorus” ise QQ Music ve Sogou tarayıcı gibi 40’tan fazla uygulamayı hedef alıyor. Bu kampanyalar, trojanlaştırılmış yükleyicileri ZIP arşivleri içinde barındırıyor ve ZIP dosyalarını genel bulut depolarından çekmek için aracı yönlendirme alan adları kullanıyor. Bu yöntem, ağ filtrelerini aşarak tehdit aktörünün operasyonel dayanıklılığını artırıyor. Ayrıca, gömülü Visual Basic Script’ler ile MSI yükleyicilerinin son yükü şifre çözme ve başlatma görevlerini üstlenmesi, saldırının karmaşıklığını artırıyor.

Teknik Derinlik ve İlgili Araçlar

Dragon Breath ve RONINGLOADER’ın kullandığı teknikler, AsyncRAT gibi gelişmiş uzaktan erişim truva atlarının davranışlarıyla paralellik gösteriyor. Özellikle, shellcode enjeksiyonu, süreç sonlandırma ve güvenlik duvarı manipülasyonu gibi yöntemler, modern MCP istemcilerinin ve Pydantic AI destekli analiz araçlarının tespit mekanizmalarını zorlayacak nitelikte. Ayrıca, saldırganların WDAC ve PPL gibi Windows güvenlik mekanizmalarını hedef alması, sistemlerin konteyner tabanlı izolasyonlarında rastgele açılan SSH portları gibi arka kapıların tespiti için ek önlemler alınması gerektiğini gösteriyor.

Analiz ve Sonuç

Dragon Breath’in çok katmanlı ve gelişmiş kaçınma teknikleri, Çin pazarına özgü güvenlik çözümlerine odaklanmasıyla dikkat çekiyor. RONINGLOADER’ın sistem süreçlerini hedef alması ve güvenlik duvarı ayarlarını manipüle etmesi, saldırının tespitini zorlaştırıyor. Gh0st RAT’ın modüler yapısı ve geniş yetenek seti, saldırganların uzun süreli erişim ve veri sızıntısı için altyapı oluşturduğunu gösteriyor. Bu bağlamda, özellikle WDAC, PPL ve UAC gibi Windows güvenlik mekanizmalarının güncel tutulması, gelişmiş tehditlere karşı kritik önem taşıyor. Ayrıca, MCP istemcileri ve AI destekli analiz araçlarıyla entegre çalışan güvenlik çözümlerinin kullanılması, bu tür çok aşamalı saldırıların erken tespiti için gereklidir.

Daha fazla teknik detay ve güncel güvenlik açıkları için CVE veritabanını takip etmek faydalı olacaktır.

, , , , , , ,