お代わりされるDLLサイドローディング

DLLサイドローディングはよく知られることとなってしまっている攻撃手法です。
いろいろな攻撃手法が手を加えられて新たな攻撃のバリエーションを増やしている様子がよく見られますが、DLLサイドローディングにもバリエーションが増えたことが観測されています。

従来からあるDLLサイドローディングは、標的システムに悪性のDLLを配置し、アプリケーションを通じてその悪性DLLを実行させる攻撃手法です。
悪性DLLを実行するアプリケーションは正当なものであるため、セキュリティ検知を回避できるという特徴があります。
従来のDLLサイドローディングは大まかに図にするとこう書けます。
クリーンなアプリケーション（起動時にDLLを自動で読み込む） → 悪性DLL（マルウェアローダー機構が含まれている） → マルウェア

この流れが少し拡張されて複雑さを増し、より検出が困難な動きを実現してしまっています。
新しいバリエーションのDLLサイドローディングは大まかに図にするとこう書けます。
クリーンなアプリケーション（起動時に自動更新アプリを自動で実行する） → クリーンな自動更新アプリケーション（起動時にDLLを自動で読み込む） →　悪性DLL（マルウェアローダー機構が含まれている） → マルウェア

1段目のクリーンなアプリケーションには有名で人気のあるアプリケーションが複数選ばれています。
TelegramやWhatsAppのインストーラーとして作成されたものもありますし、VPNアプリケーションのインストーラーとして作成されたものもあります。
1段目が変わると1段目が正規のアプリですから2段目のファイル名も変化します。
2段目が変わると2段目の読み込む正規のDLLファイルのファイル名も変わります。
この作戦は非常にバリエーションが増やしやすいといえそうです。

何かに似ていると感じました。
多段のファイル圧縮でマルウェアを配布し、セキュリティ対策ソフトウェアでの検出を回避しようとする手法に似ています。
多段でローディングする手法で攻撃の検出を回避しようという作戦なのでしょう。
DLLサイドローディングのお代わりといったところでしょうか。

参考記事（外部リンク）：A doubled “Dragon Breath” adds new air to DLL sideloading attacks
news.sophos.com/en-us/2023/05/03/doubled-dll-sideloading-dragon-breath/