Die chinesische Hackerbande APT41 kombiniert die beiden Malware-Varianten DodgeBox und Moonwalk, um Antivirenprogramme auszuhebeln.The Chinese hacker group APT41 is combining the DodgeBox and Moonwalk malware variants to disable antivirus programs.
Die Analysten von Zscaler ThreatLabz haben eine aktualisierte und weiterentwickelte Version von StealthVector entdeckt. Der bislang unbekannte Loader trägt den Namen DodgeBox und weist auffällige Ähnlichkeiten zu StealthVector auf, die die Analysten den chinesischen Advanced Persistent Threat (APT) Hackern APT41 / Earth Baku zuschreiben.

DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er deutliche Ähnlichkeiten mit StealthVector auf, enthält jedoch wesentliche Verbesserungen in der Implementierung. MoonWalk nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control (C2) Kommunikation.

MoonWalk nutzt Google Drive für die Command-and-Control (C2)-Kommunikation und missbraucht Windows Fibers, eine weniger bekannte Windows-Funktion, um Antiviren- (AV) und Endpoint Detection and Response (EDR)-Lösungen zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Hintertüren (Backdoors), die jemals entdeckt worden sind.

MoonWalk verwendet ein gemeinsames Entwicklungstoolkit mit DodgeBox und implementiert Umgehungstechniken wie DLL Hollowing, Import Resolution, DLL Unhooking und Call Stack Spoofing. Das modulare Design von MoonWalk ermöglicht es Angreifern, seine Fähigkeiten leicht zu aktualisieren, sein Verhalten zu ändern und seine Funktionalität an verschiedene Szenarien anzupassen.

Sobald die MoonWalk Backdoor erfolgreich von der DodgeBox geladen wurde, entschlüsselt die Malware zwei eingebettete Plugins (C2 und Utility) und lädt diese reflexiv nach. Das C2-Plugin verwendet ein benutzerdefiniertes verschlüsseltes C2-Protokoll, um mit dem vom Angreifer kontrollierten Google Drive-Konto zu kommunizieren.

Angriffskette
Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht. Die folgende Abbildung veranschaulicht die Angriffskette.

In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.

MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:

  • DLL Hollowing
  • Import-Auflösung
  • DLL Unhooking
  • Spoofing des Call Stacks

 

Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen.

Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.

Ausbreitung
Die Untersuchung der Telemetriedaten zeigt, dass DodgeBox und MoonWalk insbesondere auf Regionen in Südostasien abzielen, darunter Thailand und Taiwan. Diese Beobachtung deckt sich mit früheren Fällen, in denen APT41 StealthVector für seine Kampagnen einsetzte, die hauptsächlich auf Benutzer in der südostasiatischen Region (SEA) abzielen. Darüber hinaus wurden persönliche Daten von Personen aus Indien auf dem vom Malware-Akteur kontrollierten Google Drive-Konto entdeckt, was darauf hindeutet, dass die Gruppe möglicherweise weitere Ziele in Indien im Fokus hat.

DodgeBox ist ein neu identifizierter Malware-Loader, der mehrere Techniken einsetzt, um sowohl die statische als auch die verhaltensbasierte Erkennung zu umgehen. Der Loader basiert auf einer Kombination aus bekannten TTPs, potenziellen Zielländern und Ähnlichkeiten mit StealthVector. Die nachgelagerte Payload MoonWalk ist eine modulare Hintertür, die auf bisher unbekannte Techniken setzt, wie zum Beispiel der Verwendung von Windows Fibers.

Diese Umgehungstechniken in Kombination mit der Verwendung eines benutzerdefinierten komplexen C2-Kommunikationsprotokolls, das Google Drive missbraucht, um sich in den legitimen Datenverkehr einzuschleichen, verdeutlichen die hohe Kompetenz der APT41-Angreifer. Die neuesten Taktiken, Techniken und Verfahren (TTPs) dieses Bedrohungsakteurs werden weiterhin von den ThreatLabz-Analysten beobachtet. Die multifunktionale Cloud Sicherheitsplattform von Zscaler erkennt die Indicators of Compromise (IoC) und schützt Kunden vor den neuartigen Angriffsmethoden. Darüber hinaus werden die Erkenntnisse aus den Analysen mit der Sicherheitsgemeinschaft geteilt.

Zscaler ThreatLabz analysts have discovered an updated and evolved version of StealthVector. The previously unknown loader is called DodgeBox and bears striking similarities to StealthVector, which the analysts attribute to the Chinese Advanced Persistent Threat (APT) hackers APT41 / Earth Baku.

DodgeBox is a Dynamic Link Library (DLL) loader written in C that loads a new backdoor malware called MoonWalk. It is conceptually very similar to StealthVector, but with significant implementation improvements. MoonWalk uses many of the evasion techniques implemented in DodgeBox and uses Google Drive for command and control (C2) communication. These techniques make MoonWalk one of the most complex backdoors ever discovered.

MoonWalk uses Google Drive for command and control (C2) communication and abuses Windows Fibers, a little-known Windows feature, to bypass antivirus (AV) and endpoint detection and response (EDR) solutions.

MoonWalk uses a common development toolkit with DodgeBox and implements evasion techniques such as DLL Hollowing, Import Resolution, DLL Unhooking and Call Stack Spoofing. MoonWalk’s modular design allows attackers to easily update its capabilities, change its behavior, and adapt its functionality to different scenarios.

Once the MoonWalk backdoor is successfully loaded by the DodgeBox, the malware decrypts and reflexively reloads two embedded plugins (C2 and Utility). The C2 plugin uses a custom encrypted C2 protocol to communicate with the Google Drive account controlled by the attacker.

Attack chain

A DodgeBox attack uses DLL sideloading as a means of execution. A legitimate executable (taskhost.exe) is used to sideload a malicious DLL (sbiedll.dll).

This malicious DLL acts as a loader and is responsible for decrypting a subsequent payload from a DAT file (sbiedll.dat). The decrypted payload, called MoonWalk, acts as a backdoor that exploits Google Drive for command and control (C2) communication. The following figure illustrates the attack chain.

In the final stage of the attack chain, DodgeBox begins the decryption process of the MoonWalk payload file. First, the first four bytes of the file are examined. If these bytes are not zero, it means that the DAT file is associated with a specific system. If the DAT file is not associated with a specific machine, Dodgebox starts the decryption using AES-CFB and uses parameters stored in the configuration file. In the malware samples analyzed by ThreatLabz, the decrypted DAT file corresponds to the MoonWalk backdoor.

MoonWalk is a malware backdoor, also written in C, that shares many code similarities with DodgeBox, suggesting a common development toolkit. It also contains similar evasion techniques to DodgeBox, including

– DLL hollowing

– Import resolution

– DLL unhooking

– Call stack spoofing

MoonWalk also uses the same DLL blacklist as DodgeBox. MoonWalk therefore represents a new level of threat. It uses Google Drive for C2 communication, making it blend in with legitimate network traffic and difficult to detect. In addition, MoonWalk uses innovative techniques such as manipulating Windows Fibers to evade antivirus and endpoint detection and response (EDR) solutions.

MoonWalk’s modular design allows attackers to quickly adapt the functionality of the backdoor to meet different needs. This flexibility poses a significant challenge to security researchers and blue teams dealing with this constantly evolving threat.

Distribution

Examination of the telemetry data shows that DodgeBox and MoonWalk specifically target regions in Southeast Asia, including Thailand and Taiwan. This observation is consistent with previous cases where APT41 has used StealthVector for its campaigns, which primarily target users in the Southeast Asia (SEA) region. In addition, personal data of individuals from India was discovered on the Google Drive account controlled by the malware actor, suggesting that the group may have additional targets in India in mind.

DodgeBox is a newly identified malware loader that uses multiple techniques to evade both static and behavioral detection. The loader is based on a combination of known TTPs, potential target countries, and similarities to StealthVector. The downstream payload, MoonWalk, is a modular backdoor that relies on previously unknown techniques such as the use of Windows Fibers.

These evasion techniques, combined with the use of a custom complex C2 communication protocol that abuses Google Drive to sneak into legitimate traffic, demonstrate the high level of expertise of the APT41 attackers. The latest tactics, techniques and procedures (TTPs) from this threat actor continue to be monitored by ThreatLabz analysts. Zscaler’s multifunction cloud security platform detects the Indicators of Compromise (IoC) and protects customers from the new attack methods. The company also shares its analysis with the security community.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner