O grupo de ameaça persistente avançada (APT) ligado à China, conhecido como APT41, é suspeito de utilizar uma "versão avançada e atualizada" de um malware conhecido, chamado StealthVector, para distribuir um backdoor anteriormente não documentado, apelidado de MoonWalk.
A nova variante de StealthVector – que também é referida como DUSTPAN – foi denominada DodgeBox pela Zscaler ThreatLabz, que descobriu a cepa do loader em abril de 2024.
"DodgeBox é um loader que procede para carregar um novo backdoor chamado MoonWalk", disseram os pesquisadores de segurança Yin Hong Chang e Sudeep Singh.
MoonWalk compartilha muitas técnicas de evasão implementadas em DodgeBox e utiliza o Google Drive para comunicação de comando e controle (C2).
APT41 é o codinome atribuído a um ator de ameaça patrocinado por estado, afiliado à China, conhecido por estar ativo desde pelo menos 2007.
Também é monitorado pela comunidade de cibersegurança sob os nomes Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda e Winnti.
Em setembro de 2020, o Departamento de Justiça dos EUA (DoJ) anunciou a acusação de vários atores de ameaças associados à equipe de hackers por orquestrar campanhas de intrusão visando mais de 100 empresas ao redor do mundo.
As intrusões [...] facilitaram o roubo de código-fonte, certificados de assinatura de código de software, dados de contas de clientes e informações comerciais valiosas", disse o DoJ na época, acrescentando que também permitiram "outros esquemas criminosos, incluindo ransomware e esquemas de 'crypto-jacking'.
Nos últimos anos, o grupo de ameaças foi associado a violações de redes governamentais estaduais dos EUA entre maio de 2021 e fevereiro de 2022, além de ataques a organizações de mídia taiwanesas usando uma ferramenta de red teaming de código aberto conhecida como Google Command and Control (GC2).
O uso de StealthVector pelo APT41 foi documentado pela primeira vez pela Trend Micro em agosto de 2021, descrevendo-o como um loader de shellcode escrito em C/C++ usado para entregar Cobalt Strike Beacon e um implante de shellcode chamado ScrambleCross (também conhecido como SideWalk).
DodgeBox é avaliado como uma versão melhorada do StealthVector, ao mesmo tempo incorporando várias técnicas como spoofing de pilha de chamadas, DLL side-loading e DLL hollowing para evitar detecção.
Atualmente, desconhece-se o exato método pelo qual o malware é distribuído.
"APT41 emprega DLL side-loading como meio de executar DodgeBox", disseram os pesquisadores.
Eles utilizam um executável legítimo (taskhost.exe), assinado pela Sandboxie, para fazer side-load de uma DLL maliciosa (sbiedll.dll).
A DLL maliciosa (ou seja, DodgeBox) é um loader de DLL escrito em C que atua como um condutor para descriptografar e iniciar um payload da segunda fase, o backdoor MoonWalk.
A atribuição de DodgeBox ao APT41 decorre das semelhanças entre DodgeBox e StealthVector; o uso de DLL side-loading, uma técnica amplamente empregada por grupos com nexos com a China para entregar malware como PlugX; e o fato de amostras de DodgeBox terem sido submetidas ao VirusTotal a partir da Tailândia e Taiwan, regiões de interesse estratégico para a China.
"DodgeBox é um loader de malware recém-identificado que emprega múltiplas técnicas para evadir detecção estática e comportamental", disseram os pesquisadores.
Ele oferece várias capacidades, incluindo descriptografar e carregar DLLs embutidas, realizar verificações de ambiente e vinculações, e executar procedimentos de limpeza.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...