Aktualisiertes Arsenal von APT41: DodgeBox und Moonwalk

DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2).

Angriffskette

Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht.

In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.

MoonWalk weist Ähnlichkeiten mit DodgeBox auf

MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:

  • DLL Hollowing
  • Import-Auflösung
  • DLL Unhooking
  • Spoofing des Call Stacks

Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.

Ausbreitung überwiegend in Südostasien

Die Untersuchung der Telemetriedaten zeigt, dass DodgeBox und MoonWalk insbesondere auf Regionen in Südostasien abzielen, darunter Thailand und Taiwan. Diese Beobachtung deckt sich mit früheren Fällen, in denen APT41 StealthVector für seine Kampagnen einsetzte, die hauptsächlich auf Benutzer in der südostasiatischen Region (SEA) abzielen. Darüber hinaus wurden persönliche Daten von Personen aus Indien auf dem vom Malware-Akteur kontrollierten Google Drive-Konto entdeckt, was darauf hindeutet, dass die Gruppe möglicherweise weitere Ziele in Indien im Fokus hat.

DodgeBox ist ein neu identifizierter Malware-Loader, der mehrere Techniken einsetzt, um sowohl die statische als auch die verhaltensbasierte Erkennung zu umgehen. Der Loader basiert auf einer Kombination aus bekannten TTPs, potenziellen Zielländern und Ähnlichkeiten mit StealthVector. Die nachgelagerte Payload MoonWalk ist eine modulare Hintertür, die auf bisher unbekannte Techniken setzt, wie zum Beispiel der Verwendung von Windows Fibers.

Diese Umgehungstechniken in Kombination mit der Verwendung eines benutzerdefinierten komplexen C2-Kommunikationsprotokolls, das Google Drive missbraucht, um sich in den legitimen Datenverkehr einzuschleichen, verdeutlichen die hohe Kompetenz der APT41-Angreifer. Die neuesten Taktiken, Techniken und Verfahren (TTPs) dieses Bedrohungsakteurs werden weiterhin von den ThreatLabz-Analysten beobachtet. Die multifunktionale Cloud Sicherheitsplattform von Zscaler erkennt die Indicators of Compromise (IoC) und schützt Kunden vor den neuartigen Angriffsmethoden. Darüber hinaus werden die Erkenntnisse aus den Analysen mit der Sicherheitsgemeinschaft geteilt.

Roger Homrich

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

8 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago