Aktualisiertes Arsenal von APT41: DodgeBox und Moonwalk

DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2).

Angriffskette

Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht.

In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.

MoonWalk weist Ähnlichkeiten mit DodgeBox auf

MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:

  • DLL Hollowing
  • Import-Auflösung
  • DLL Unhooking
  • Spoofing des Call Stacks

Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.

Ausbreitung überwiegend in Südostasien

Die Untersuchung der Telemetriedaten zeigt, dass DodgeBox und MoonWalk insbesondere auf Regionen in Südostasien abzielen, darunter Thailand und Taiwan. Diese Beobachtung deckt sich mit früheren Fällen, in denen APT41 StealthVector für seine Kampagnen einsetzte, die hauptsächlich auf Benutzer in der südostasiatischen Region (SEA) abzielen. Darüber hinaus wurden persönliche Daten von Personen aus Indien auf dem vom Malware-Akteur kontrollierten Google Drive-Konto entdeckt, was darauf hindeutet, dass die Gruppe möglicherweise weitere Ziele in Indien im Fokus hat.

DodgeBox ist ein neu identifizierter Malware-Loader, der mehrere Techniken einsetzt, um sowohl die statische als auch die verhaltensbasierte Erkennung zu umgehen. Der Loader basiert auf einer Kombination aus bekannten TTPs, potenziellen Zielländern und Ähnlichkeiten mit StealthVector. Die nachgelagerte Payload MoonWalk ist eine modulare Hintertür, die auf bisher unbekannte Techniken setzt, wie zum Beispiel der Verwendung von Windows Fibers.

Diese Umgehungstechniken in Kombination mit der Verwendung eines benutzerdefinierten komplexen C2-Kommunikationsprotokolls, das Google Drive missbraucht, um sich in den legitimen Datenverkehr einzuschleichen, verdeutlichen die hohe Kompetenz der APT41-Angreifer. Die neuesten Taktiken, Techniken und Verfahren (TTPs) dieses Bedrohungsakteurs werden weiterhin von den ThreatLabz-Analysten beobachtet. Die multifunktionale Cloud Sicherheitsplattform von Zscaler erkennt die Indicators of Compromise (IoC) und schützt Kunden vor den neuartigen Angriffsmethoden. Darüber hinaus werden die Erkenntnisse aus den Analysen mit der Sicherheitsgemeinschaft geteilt.

Roger Homrich

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago