Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie DodgeBox entdeckt. Einen bisher unbekannten Loader, der auffällige Ähnlichkeiten mit StealthVector zeigt.
DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2).
DodgeBox-Angriffskette
Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht.
In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.
Moonwalk heißt die neue Backdoor-Bedrohung
MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:
- DLL Hollowing
- Import-Auflösung
- DLL Unhooking
- Spoofing des Call Stacks
Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.
DodgeBox und Moonwalk breiten sich in Südostasien aus
Die Untersuchung der Telemetriedaten zeigt, dass DodgeBox und MoonWalk insbesondere auf Regionen in Südostasien abzielen, darunter Thailand und Taiwan. Diese Beobachtung deckt sich mit früheren Fällen, in denen APT41 StealthVector für seine Kampagnen einsetzte, die hauptsächlich auf Benutzer in der südostasiatischen Region (SEA) abzielen. Darüber hinaus wurden persönliche Daten von Personen aus Indien auf dem vom Malware-Akteur kontrollierten Google Drive-Konto entdeckt, was darauf hindeutet, dass die Gruppe möglicherweise weitere Ziele in Indien im Fokus hat.
Mißbrauch von Google Drive
DodgeBox ist ein neu identifizierter Malware-Loader, der mehrere Techniken einsetzt, um sowohl die statische als auch die verhaltensbasierte Erkennung zu umgehen. Der Loader basiert auf einer Kombination aus bekannten TTPs, potenziellen Zielländern und Ähnlichkeiten mit StealthVector. Die nachgelagerte Payload MoonWalk ist eine modulare Hintertür, die auf bisher unbekannte Techniken setzt, wie zum Beispiel der Verwendung von Windows Fibers.
Diese Umgehungstechniken in Kombination mit der Verwendung eines benutzerdefinierten komplexen C2-Kommunikationsprotokolls, das Google Drive missbraucht, um sich in den legitimen Datenverkehr einzuschleichen, verdeutlichen die hohe Kompetenz der APT41-Angreifer. Die neuesten Taktiken, Techniken und Verfahren (TTPs) dieses Bedrohungsakteurs werden weiterhin von den ThreatLabz-Analysten beobachtet. Die multifunktionale Cloud Sicherheitsplattform von Zscaler erkennt die Indicators of Compromise (IoC) und schützt Kunden vor den neuartigen Angriffsmethoden. Darüber hinaus werden die Erkenntnisse aus den Analysen mit der Sicherheitsgemeinschaft geteilt.
Direkt zum Report auf Zscaler.com
Über Zscaler Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.