DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2).
Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht.
In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.
MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:
Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.
Die Untersuchung der Telemetriedaten zeigt, dass DodgeBox und MoonWalk insbesondere auf Regionen in Südostasien abzielen, darunter Thailand und Taiwan. Diese Beobachtung deckt sich mit früheren Fällen, in denen APT41 StealthVector für seine Kampagnen einsetzte, die hauptsächlich auf Benutzer in der südostasiatischen Region (SEA) abzielen. Darüber hinaus wurden persönliche Daten von Personen aus Indien auf dem vom Malware-Akteur kontrollierten Google Drive-Konto entdeckt, was darauf hindeutet, dass die Gruppe möglicherweise weitere Ziele in Indien im Fokus hat.
DodgeBox ist ein neu identifizierter Malware-Loader, der mehrere Techniken einsetzt, um sowohl die statische als auch die verhaltensbasierte Erkennung zu umgehen. Der Loader basiert auf einer Kombination aus bekannten TTPs, potenziellen Zielländern und Ähnlichkeiten mit StealthVector. Die nachgelagerte Payload MoonWalk ist eine modulare Hintertür, die auf bisher unbekannte Techniken setzt, wie zum Beispiel der Verwendung von Windows Fibers.
Diese Umgehungstechniken in Kombination mit der Verwendung eines benutzerdefinierten komplexen C2-Kommunikationsprotokolls, das Google Drive missbraucht, um sich in den legitimen Datenverkehr einzuschleichen, verdeutlichen die hohe Kompetenz der APT41-Angreifer. Die neuesten Taktiken, Techniken und Verfahren (TTPs) dieses Bedrohungsakteurs werden weiterhin von den ThreatLabz-Analysten beobachtet. Die multifunktionale Cloud Sicherheitsplattform von Zscaler erkennt die Indicators of Compromise (IoC) und schützt Kunden vor den neuartigen Angriffsmethoden. Darüber hinaus werden die Erkenntnisse aus den Analysen mit der Sicherheitsgemeinschaft geteilt.
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.