Operacja Dragon Weave: wieloetapowy cyberatak wymierzony w organizacje w Czechach i na Tajwanie - Security Bez Tabu

Operacja Dragon Weave: wieloetapowy cyberatak wymierzony w organizacje w Czechach i na Tajwanie

Cybersecurity news

Wprowadzenie do problemu / definicja

Operacja Dragon Weave to zaawansowana kampania cyberszpiegowska, przypisywana z umiarkowaną pewnością podmiotom powiązanym z Chinami. Działania były ukierunkowane na organizacje o wysokiej wartości wywiadowczej w Czechach i na Tajwanie, w tym instytucje rządowe, sektor publiczny, środowiska badawcze, firmy technologiczne oraz podmioty finansowe.

Na tle wielu podobnych operacji kampanię wyróżnia połączenie precyzyjnego spear phishingu z dwoma równoległymi metodami uruchomienia tego samego łańcucha infekcji. Taki model zwiększa skuteczność ataku i utrudnia jego wykrycie na wczesnym etapie.

W skrócie

Kampania zaczyna się od wiadomości e-mail zawierającej archiwum ZIP oraz treść nawiązującą do wiarygodnych tematów administracyjnych lub biznesowych. Po otwarciu załącznika ofiara uruchamia infekcję, jednocześnie widząc dokument-wabik, który ma zmniejszyć podejrzenia.

  • Atak wykorzystuje dwa warianty startowe: plik LNK uruchamiający PowerShell lub samodzielny dropper napisany w Rust.
  • W obu scenariuszach celem jest uruchomienie komponentu RuntimeBroker_update.exe.
  • Następnie ładowana jest złośliwa biblioteka DLL, potem loader Rustcloak, a finalnie malware Azureveil.
  • Końcowy ładunek korzysta z Azure Blob Storage i modelu dead-drop C2, co utrudnia wykrycie klasycznej komunikacji z serwerem dowodzenia.

Kontekst / historia

Dobór ofiar wskazuje na klasyczną operację ukierunkowaną na pozyskiwanie informacji o znaczeniu politycznym, gospodarczym i technologicznym. Czechy i Tajwan od lat pozostają w obszarze zainteresowania grup prowadzących działania zgodne z priorytetami geopolitycznymi Pekinu.

W przypadku Czech istotne znaczenie ma ich pozycja w strukturach europejskich i transatlantyckich, a także relacje z Tajwanem. Szerszy kontekst potwierdzają wcześniejsze publiczne przypisania kampanii cybernetycznych aktorom powiązanym z Chińską Republiką Ludową, co wzmacnia obraz długofalowej presji w cyberprzestrzeni.

Analiza techniczna

Techniczna konstrukcja Dragon Weave została zaprojektowana tak, aby zwiększyć szanse skutecznego dostarczenia ładunku i jednocześnie ograniczyć możliwość detekcji. Punktem wejścia jest wiadomość spear phishingowa z załącznikiem ZIP, której treść odwołuje się do realistycznych scenariuszy, takich jak korespondencja urzędowa lub kontakt biznesowy.

Po rozpakowaniu archiwum infekcja może zostać uruchomiona na dwa sposoby. W pierwszym wariancie wykorzystywany jest plik LNK, który inicjuje skrypt PowerShell odpowiedzialny za odszyfrowanie i uruchomienie kolejnych komponentów. Drugi wariant polega na użyciu pliku wykonywalnego pełniącego funkcję samodzielnego droppera napisanego w Rust, który rozpakowuje elementy niezbędne do dalszego przebiegu ataku.

W obu ścieżkach kluczowym etapem jest uruchomienie RuntimeBroker_update.exe. To binarium ładuje złośliwą bibliotekę DLL, a następnie uruchamia loader Rustcloak. Jego zadaniem jest odszyfrowanie i wykonanie finalnego payloadu o nazwie Azureveil.

Rustcloak zawiera mechanizmy antyanalityczne i antysandboxowe. Sprawdza między innymi nazwę komputera i porównuje ją z listą środowisk znanych z analiz bezpieczeństwa. Jeśli wykryje potencjalne środowisko badawcze, kończy działanie bez aktywowania pełnego ładunku, co znacząco utrudnia analizę próbki.

Szczególnie istotny jest sposób komunikacji Azureveil. Zamiast bezpośredniego kontaktu z serwerem C2 malware wykorzystuje model dead-drop oparty na Azure Blob Storage. Zainfekowany system wysyła zaszyfrowane sygnały aktywności, pobiera polecenia umieszczone w kontenerze chmurowym, wykonuje je i odsyła wyniki w formie zaszyfrowanych blobów. Dzięki temu ruch może przypominać legalne korzystanie z popularnej usługi chmurowej.

Konsekwencje / ryzyko

Skuteczna infekcja może dać atakującym możliwość zdalnego wykonywania poleceń, przesyłania danych oraz eksfiltracji plików. Oznacza to realne ryzyko utraty dokumentów administracyjnych, danych badawczych, własności intelektualnej, informacji finansowych oraz planów operacyjnych.

Niebezpieczne jest również połączenie kilku technik utrudniających obronę. Wiarygodny spear phishing zwiększa skuteczność początkowego wejścia, dwa równoległe mechanizmy wdrożenia podnoszą odporność kampanii na błędy użytkownika, a wykorzystanie Rusta i usług chmurowych utrudnia działanie klasycznych narzędzi detekcyjnych.

Dla zespołów SOC oznacza to większe ryzyko fałszywie negatywnych wyników, zwłaszcza jeśli organizacja nie monitoruje szczegółowo skrótów LNK, aktywności PowerShell, ładowania DLL z nietypowych lokalizacji oraz anomalii w ruchu do usług cloud storage.

Rekomendacje

Organizacje powinny traktować podobne kampanie jako precyzyjnie zaprojektowane operacje wymierzone w konkretne procesy biznesowe i administracyjne. Ochrona musi obejmować zarówno użytkownika końcowego, jak i pełną widoczność telemetrii technicznej.

  • Wzmocnić bezpieczeństwo poczty elektronicznej przez sandboxing załączników, filtrowanie archiwów i ścisłą kontrolę plików LNK.
  • Ograniczyć możliwość uruchamiania PowerShell z nieautoryzowanych kontekstów oraz wdrożyć polityki allowlistingu aplikacji.
  • Monitorować procesy potomne uruchamiane z eksploratora, archiwizerów i skrótów.
  • Zwracać szczególną uwagę na nietypowe użycie RuntimeBroker_update.exe oraz ładowanie bibliotek DLL z niestandardowych ścieżek.
  • Skonfigurować EDR lub XDR pod wykrywanie zachowań, a nie wyłącznie sygnatur plików.
  • Centralizować logi w SIEM i korelować zdarzenia z poczty, EDR, AMSI, PowerShell oraz ruchu do usług storage w chmurze.
  • Prowadzić szkolenia użytkowników oparte na realistycznych scenariuszach administracyjnych i biznesowych.

Podsumowanie

Dragon Weave pokazuje, że współczesne kampanie cyberszpiegowskie coraz częściej łączą socjotechnikę, wielościeżkowe dostarczanie ładunku, komponenty napisane w Rust oraz komunikację C2 ukrytą w legalnych usługach chmurowych. Z perspektywy obrońców nie jest to zwykły phishing, lecz przemyślany i wielowarstwowy łańcuch ataku zaprojektowany z myślą o długotrwałej niewidoczności oraz skutecznej eksfiltracji danych.

Dla organizacji z sektorów publicznych, badawczych, technologicznych i finansowych kluczowe pozostają: twarda kontrola poczty, monitoring zachowań po stronie hosta oraz szczegółowa analiza ruchu wychodzącego do usług chmurowych. To właśnie te obszary mogą zdecydować o tym, czy podobna kampania zostanie wykryta odpowiednio wcześnie.

Źródła

  1. Dark Reading – China Uses Dual-Method Cyberattack on Czech Orgs — https://www.darkreading.com/threat-intelligence/china-uses-dual-method-attack-czech-taiwan-orgs
  2. NÚKIB – The Czech Government Has Publicly Attributed Cyberattacks to China — https://nukib.gov.cz/en/infoservis-en/news/2263-the-czech-government-has-publicly-attributed-cyberattacks-to-china-actor-apt31-linked-to-the-chinese-ministry-of-state-security-has-targeted-the-infrastructure-of-the-czech-ministry-of-foreign-affairs
  3. Associated Press – Czech Republic accuses China of 'malicious cyber campaign’ against its foreign ministry — https://apnews.com/article/163e7e752624b9e243a31d533f7fcaa2
  4. ESET – APT Activity Report — https://www.eset.com/us/business/apt-report/