Wprowadzenie do problemu / definicja
Adware i programy klasy PUP przez lata były traktowane głównie jako uciążliwy dodatek do systemu: obniżający komfort pracy, generujący reklamy i utrudniający korzystanie z przeglądarki, ale niekoniecznie stanowiący krytyczne zagrożenie bezpieczeństwa. Analiza kampanii powiązanej z Dragon Boss Solutions LLC pokazuje jednak, iż taki podział coraz częściej przestaje mieć znaczenie operacyjne.
W opisywanym przypadku oprogramowanie reklamowe zostało wykorzystane nie tylko do monetyzacji ruchu, ale także do utrwalania obecności w systemie, osłabiania mechanizmów ochronnych i przygotowania środowiska pod potencjalne dalsze ataki. To wyraźny przykład sytuacji, w której granica między „niechcianym oprogramowaniem” a malware staje się czysto umowna.
W skrócie
Kampania objęła ponad 23,5 tys. systemów w 124 krajach i była oparta na aplikacjach sygnowanych przez Dragon Boss Solutions LLC. W marcu 2025 roku operatorzy rozesłali aktualizację, która rozszerzała możliwości systemu o mechanizmy persystencji oraz działania wymierzone w produkty bezpieczeństwa.
- aktualizacja umożliwiała ciche dostarczanie kolejnych komponentów,
- na zainfekowanych systemach wdrażano mechanizmy trwałości i modyfikacje zabezpieczeń,
- wykryto próby osłabiania lub wyłączania ochrony antywirusowej,
- główny kanał aktualizacji opierał się na niezarejestrowanej domenie, którą można było przejąć,
- ostatecznie domena została przejęta defensywnie i użyta do sinkholingu.
Kontekst / historia
Ekosystem Dragon Boss był powiązany z rodziną aplikacji i przeglądarek reklamowanych jako legalne narzędzia użytkowe. W praktyce wiele rozwiązań bezpieczeństwa klasyfikowało je jako PUP-y lub adware. Z ustaleń badaczy wynika, iż część infekcji mogła utrzymywać się na urządzeniach już od 2022 roku, co sugeruje długotrwałą obecność kampanii w środowiskach użytkowników indywidualnych i organizacyjnych.
Kluczowy moment nastąpił 22 marca 2025 roku. Wtedy operatorzy dostarczyli aktualizację, która zmieniła charakter całej operacji. Od tego momentu nie chodziło już wyłącznie o reklamy i agresywną monetyzację, ale o realne przygotowanie hostów do funkcjonowania przy ograniczonej widoczności ze strony narzędzi ochronnych. Z perspektywy zespołów SOC i IR był to punkt, w którym kampanię należało traktować jak pełnowymiarowe zagrożenie.
Analiza techniczna
Techniczny fundament operacji stanowiło wykorzystanie legalnego mechanizmu aktualizacji aplikacji Windows. Oprogramowanie korzystało z funkcji aktualizacyjnych narzędzia Advanced Installer, co pozwalało cyklicznie sprawdzać dostępność nowych wersji i wdrażać je bez większej ingerencji użytkownika. Sam mechanizm nie jest złośliwy, ale w tym przypadku został użyty jako zaufany kanał dostarczania szkodliwych komponentów.
Po stronie ofiary uruchamiany był wieloetapowy łańcuch działań obejmujący skrypty i pakiety MSI. Celem tych komponentów było nie tylko utrzymanie obecności w systemie, ale również osłabienie lokalnej ochrony endpointowej.
- tworzenie trwałości z użyciem harmonogramu zadań,
- wdrażanie artefaktów persystencji opartych o WMI,
- wyłączanie lub zakłócanie działania wybranych produktów bezpieczeństwa,
- dodawanie wyjątków w Microsoft Defender dla przyszłych payloadów,
- utrudnianie ponownej instalacji części narzędzi ochronnych,
- modyfikacje pliku hosts wymierzone w domeny dostawców AV.
Szczególnie istotne było nadużycie komponentów podpisanych i standardowego procesu aktualizacji. Taki model zwiększał poziom zaufania ze strony systemu operacyjnego i ograniczał prawdopodobieństwo natychmiastowego wzbudzenia podejrzeń. Z punktu widzenia obrońców jest to klasyczny przykład wykorzystania legalnych narzędzi administracyjnych do działań o charakterze post-exploitation.
Badacze wskazali również konkretne artefakty, które mogą pomóc w detekcji incydentu. Wśród nich znalazły się subskrypcje WMI zawierające nazwy takie jak „MbRemoval” i „MbSetup”, zadania harmonogramu odwołujące się do „WMILoad” lub „ClockRemoval”, a także procesy podpisane przez Dragon Boss Solutions LLC. Dodatkowym sygnałem ostrzegawczym były nietypowe wykluczenia w Defenderze oraz zmiany lokalnej konfiguracji sieciowej.
Najbardziej alarmującym elementem całej operacji okazała się jednak architektura aktualizacji. Główny adres wykorzystywany do pobierania update’ów pozostawał niezarejestrowany. W praktyce oznaczało to możliwość przejęcia kanału dystrybucji przez innego aktora zagrożeń i użycia go do rozsyłania dowolnego malware do tysięcy aktywnych instalacji. To scenariusz przypominający nadużycie łańcucha dostaw, ale bez konieczności przełamywania dodatkowych zabezpieczeń.
Konsekwencje / ryzyko
Ryzyko wynikające z tej kampanii zdecydowanie wykracza poza klasyczny profil adware. jeżeli oprogramowanie potrafi osłabić ochronę antywirusową, dodać wyjątki w Defenderze i utrzymać się w systemie, staje się dogodnym punktem wejścia dla znacznie poważniejszych zagrożeń. Taka infrastruktura może posłużyć do wdrożenia ransomware, loaderów, infostealerów czy komponentów botnetowych.
Znaczenie incydentu zwiększa jego skala. Ofiary zidentyfikowano na pięciu kontynentach, a znacząca część systemów znajdowała się w Stanach Zjednoczonych. Wśród środowisk dotkniętych kampanią znalazły się także organizacje o podwyższonej wartości, w tym podmioty rządowe, sieci OT, uczelnie i przedsiębiorstwa. To ważne przypomnienie, iż PUP-y i adware nie są wyłącznie problemem konsumenckim i mogą przez długi czas funkcjonować w środowiskach firmowych jako ukryty wektor ryzyka.
Najważniejszy wniosek operacyjny jest prosty: jeżeli aplikacja utrwala się w systemie, manipuluje ustawieniami ochrony i utrzymuje kanał do dalszego pobierania payloadów, powinna być traktowana jak malware wysokiego ryzyka, niezależnie od etykiety marketingowej czy klasyfikacji prawnej.
Rekomendacje
Organizacje powinny podnieść priorytet obsługi wykryć dotyczących adware i PUP. Zamiast traktować je jako incydenty helpdeskowe, warto uznać je za możliwy sygnał głębszej kompromitacji środowiska.
- przeprowadzić threat hunting pod kątem artefaktów powiązanych z Dragon Boss Solutions LLC,
- zweryfikować konfigurację Microsoft Defender pod kątem nieautoryzowanych wyjątków,
- sprawdzić harmonogram zadań, subskrypcje WMI i historię uruchamianych pakietów MSI,
- przeanalizować plik hosts oraz lokalne polityki pod kątem blokad dostawców AV,
- ograniczyć możliwość uruchamiania nieautoryzowanych instalatorów i skryptów PowerShell,
- ustawić alerty na modyfikacje ochrony endpointów i nietypowe zmiany mechanizmów persystencji,
- włączyć PUP-y i adware do scenariuszy threat huntingu i oceny ryzyka,
- przeglądać źródła instalacji aplikacji spoza zatwierdzonego katalogu oprogramowania.
Podsumowanie
Sprawa Dragon Boss Solutions LLC pokazuje, iż współczesne adware może być czymś znacznie groźniejszym niż tylko natrętnym dodatkiem do przeglądarki. Gdy zyskuje zdolność wyłączania ochrony, utrwalania się w systemie i pobierania kolejnych komponentów, staje się pełnoprawnym zagrożeniem dla użytkowników i organizacji.
Najważniejsza lekcja dla zespołów obronnych brzmi: wykrycie PUP-a nie powinno kończyć się na prostym usunięciu aplikacji. Tego typu oprogramowanie może być elementem większej operacji, a jego obecność może wskazywać na przygotowanie środowiska pod znacznie poważniejsze ataki.
Źródła
- Dark Reading — 'Harmless’ Global Adware Transforms Into an AV Killer — https://www.darkreading.com/cyberattacks-data-breaches/harmless-global-adware-av-killer
- Huntress — When PUPs Grow Fangs: Dragon Boss Solutions’ $10 Supply Chain Risk — https://www.huntress.com/blog/pups-grow-fangs
- BleepingComputer — Signed software abused to deploy antivirus-killing scripts — https://www.bleepingcomputer.com/news/security/signed-software-abused-to-deploy-antivirus-killing-scripts/
- Advanced Installer — Advanced Installer Updater — https://www.advancedinstaller.com/user-guide/updater.html
