Sumnja se da grupa za napredne persistentne prijetnje (APT) povezana s Kinom pod kodnim imenom APT41 koristi “naprednu i nadograđenu verziju” poznatog zlonamjernog softvera zvanog StealthVector za isporuku prethodno nedokumentovanog backdoora nazvanog MoonWalk.
Novu varijantu StealthVector-a – koja se takođe naziva i DUSTPAN – označio je DodgeBox od strane Zscaler ThreatLabz-a, koji je otkrio soj učitavača u aprilu 2024. godine.
“DodgeBox je loader koji nastavlja sa učitavanjem novog backdoor-a pod nazivom MoonWalk”, rekli su sigurnosni istraživači Yin Hong Chang i Sudeep Singh. “MoonWalk dijeli mnoge tehnike izbjegavanja koje su implementirane u DodgeBox-u i koristi Google Drive za komunikaciju naredbe i kontrole (C2).”
APT41 je nadimak dodijeljen plodnom hakerkoje sponzoriše država povezanom s Kinom za koji se zna da je aktivan najmanje od 2007. godine. Takođe ga prati šira zajednica kibernetičke sigurnosti pod nazivima Axiom, Blackfly, Brass Typhoon (ranije Barium), Bronze Atlas , Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda i Winnti.
U septembru 2020., Ministarstvo pravde SAD-a (DoJ) objavilo je optužnicu protiv nekoliko hakera povezanih sa hakerskom ekipom za orkestriranje kampanja upada koje su ciljale na više od 100 kompanija širom svijeta.
“Upadi […] su omogućili krađu izvornog koda, certifikata za potpisivanje softverskog koda, podataka o korisničkim računima i vrijednih poslovnih informacija”, rekao je tada iz Ministarstva pravde, dodajući da su takođe omogućili “druge kriminalne sheme, uključujući ransomware i ‘ šeme kripto-džekinga.”
U proteklih nekoliko godina, grupa prijetnji bila je povezana s kršenjem mreža državne vlade SAD-a između maja 2021. i februara 2022., uz napade usmjerene na tajvanske medijske organizacije korištenjem otvorenog koda crvenog timskog alata poznatog kao Google Command and Control (GC2).
Korištenje StealthVector-a od strane APT41 je prvi put dokumentovalo Trend Micro u augustu 2021., opisujući ga kao učitavač shellcode-a napisan na C/C++ koji se koristi za isporuku Cobalt Strike Beacon-a i shellcode implantata pod nazivom ScrambleCross (aka SideWalk).
Procjenjuje se da je DodgeBox poboljšana verzija StealthVector-a, dok takođe uključuje različite tehnike kao što su lažiranje steka poziva, bočno učitavanje DLL-a i izdubljivanje DLL-a kako bi se izbjeglo otkrivanje. Tačan način distribucije zlonamjernog softvera trenutno nije poznat.
“APT41 koristi bočno učitavanje DLL-a kao sredstvo za izvršavanje DodgeBox-a,” kažu istraživači. “Koriste legitimnu izvršnu datoteku (taskhost.exe), koju je potpisao Sandboxie, da učitavaju zlonamjerni DLL (sbiedll.dll) sa strane.”
Lažni DLL (tj. DodgeBox) je DLL učitavač napisan u C-u koji djeluje kao kanal za dešifriranje i pokretanje drugog stupnja korisnog opterećenja, MoonWalk backdoor.
Atribucija DodgeBox-a APT41 proizilazi iz sličnosti između DodgeBox-a i StealthVector-a; upotreba bočnog učitavanja DLL-a, tehnike koja se široko koristi od strane kineskih nexus grupa za isporuku zlonamjernog softvera kao što je PlugX; i činjenica da su uzorci DodgeBox-a dostavljeni VirusTotalu sa Tajlanda i Tajvana, regiona koji su od strateškog interesa za Kinu.
“DodgeBox je novo identificirani učitavač zlonamjernog softvera koji koristi više tehnika kako bi izbjegao statičku i bihevioralno detekciju”, rekli su istraživači.
“Nudi različite mogućnosti, uključujući dešifriranje i učitavanje ugrađenih DLL-ova, provođenje provjera okruženja i povezivanja i izvršavanje procedura čišćenja.”
Izvor:The Hacker News
