Chinesische APT41-Gruppe rüstet Malware-Arsenal auf
Die mit China in Verbindung stehende Bedrohungsgruppe mit dem Codenamen APT41 wird verdächtigt, eine „erweiterte und verbesserte Version“ der bekannten StealthVector-Malware zu nutzen, um eine bislang unbekannte Hintertür mit dem Namen MoonWalk zu installieren.
Die neue Variante von StealthVector oder DUSTPAN, wie die ursprüngliche Malware auch genannt wird, erhielt von den Zscaler ThreatLabz den Namen DodgeBox. Zscaler hat den neuen Loader-Stamm im April 2024 entdeckt. „DodgeBox ist ein Loader, der die neue Hintertür MoonWalk lädt“, so die Sicherheitsexperten Yin Hong Chang und Sudeep Singh. „MoonWalk teilt viele Verschleierungstechniken mit DodgeBox und nutzt Google Drive für die Kommando- und Kontrollkommunikation (C2).“
APT41 ist eine seit mindestens 2007 aktive, staatlich gesponserte Bedrohungsgruppe aus China, die auch unter den Namen Axiom, Blackfly, Brass Typhoon (ehemals Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda und Winnti bekannt ist. Im September 2020 kündigte das US-Justizministerium die Anklage gegen mehrere Mitglieder der Gruppe an, die für Einbrüche in mehr als 100 Unternehmen weltweit verantwortlich gemacht werden. „Die Einbrüche ermöglichten den Diebstahl von Quellcode, Zertifikaten zur Signierung von Softwarecode, Kundendaten und wertvollen Geschäftsinformationen“, erklärte das amerikanische Justizministerium damals. Sie ermöglichten auch „andere kriminelle Aktivitäten, einschließlich Ransomware- und Kryptojacking-Angriffe“.
In den letzten Jahren wurde die Gruppe zwischen Mai 2021 und Februar 2022 mit Angriffen auf US-amerikanische Staatsnetzwerke sowie auf taiwanesische Medienorganisationen in Verbindung gebracht. Dabei kam ein als Google Command and Control (GC2) bekanntes Open-Source-Red-Teaming-Tools zum Einsatz.
StealthVector
Die Nutzung von StealthVector durch APT41 wurde erstmals im August 2021 von Trend Micro dokumentiert und als in C beziehungsweise C++ geschriebener Shellcode-Loader spezifiziert, der Cobalt Strike Beacon und ein ScrambleCross-Implantat (alias SideWalk) ausliefert.
DodgeBox wird als verbesserte Version von StealthVector angesehen. Sie beinhaltet Techniken wie Call-Stack-Spoofing, DLL-Sideloading und DLL-Hollowing, um der Erkennung zu entgehen. Die genaue Verbreitungsmethode der Malware ist derzeit noch unbekannt. „APT41 nutzt DLL-Sideloading, um DodgeBox auszuführen“, so Zscaler. „Sie verwenden eine legitime ausführbare Datei (taskhost.exe), signiert von Sandboxie, um eine bösartige DLL (sbiedll.dll) zu laden.“ Die schädliche DLL (DodgeBox) ist ein in C geschriebener Loader, der als Kanal fungiert, um eine zweite Payload, die MoonWalk-Hintertür, zu entschlüsseln und auszuführen.
MoonWalk ist modular aufgebaut und ermöglicht es den Angreifern, seine Fähigkeiten durch Plugins zu erweitern, sein Verhalten anzupassen und maßgeschneiderte Aufgaben auszuführen. Es kann auch Umgebungsinformationen sammeln und Befehle vom C2-Server ausführen. Die Hintertür „führt innovative Techniken ein, einschließlich der Nutzung von Windows Fibers, die bislang nicht häufig beobachtet werden“, so das Unternehmen weiter. „Diese Verschleierungstechniken werden mit einem komplexen C2-Kommunikationsprotokoll kombiniert, das Google Drive nutzt, um sich in legitimem Datenverkehr zu verstecken.“
Die Zuordnung von DodgeBox zu APT41 basiert auf den Ähnlichkeiten zwischen DodgeBox und StealthVector; der Nutzung von DLL-Sideloading, einer weit verbreiteten Technik von China-nexus-Gruppen, um Malware wie PlugX zu verbreiten; und der Tatsache, dass DodgeBox-Proben aus Thailand und Taiwan – Regionen von strategischem Interesse für China – bei VirusTotal eingereicht wurden.
DodgeBox ist ein neu identifizierter Malware-Loader, der unterschiedliche Techniken verwendet, um sowohl statischen als auch verhaltensbasierten Erkennungsmechanismen zu entgehen. Er bietet verschiedene Funktionen, darunter das Entschlüsseln und Laden eingebetteter DLLs, das Durchführen von Umgebungsprüfungen und Bindungen sowie das Ausführen von Bereinigungsverfahren.