APT41 se ha actualizado con DodgeBox y Moonwalk

13. Octubre 2024
| No hay comentarios
APT41 se ha actualizado con DodgeBox y Moonwalk
Anzeige

Compartir publicación

Los analistas de Zscaler ThreatLabs han examinado los últimos desarrollos del grupo chino APT41/Earth Baku. Fue entonces cuando descubrieron DodgeBox. Un cargador previamente desconocido que muestra sorprendentes similitudes con StealthVector.

DodgeBox es un cargador de biblioteca de vínculos dinámicos (DLL) escrito en C que carga un nuevo malware de puerta trasera llamado MoonWalk. Conceptualmente, tiene claras similitudes con StealthVector, pero contiene mejoras significativas en la implementación. MoonWalk, por su parte, aprovecha muchas de las técnicas alternativas implementadas en DodgeBox y utiliza Google Drive para comunicaciones de comando y control (C2).

Anzeige

Cadena de ataque de DodgeBox

Como parte de un ataque a través de DodgeBox, la descarga de DLL se utiliza como medio de ejecución. Esto utiliza un ejecutable legítimo (taskhost.exe) para descargar una DLL maliciosa (sbiedll.dll). Esta DLL maliciosa actúa como un cargador y es responsable de descifrar una carga útil de un archivo DAT (sbiedll.dat). La carga útil descifrada, llamada MoonWalk, actúa como una puerta trasera que abusa de Google Drive para las comunicaciones de comando y control (C2).

En la fase final de la cadena de ataque, DodgeBox comienza el proceso de descifrado del archivo de carga útil de MoonWalk. Primero se examinan los primeros cuatro bytes del archivo. Si estos bytes no son cero, significa que el archivo DAT está asociado con un sistema específico. Sin embargo, si el archivo DAT no es específico de la máquina, Dodgebox comienza a descifrar usando AES-CFB y usa parámetros que se almacenan en el archivo de configuración. En las muestras de malware analizadas por ThreatLabz, el archivo DAT descifrado corresponde a la puerta trasera MoonWalk.

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

Moonwalk es el nombre de la nueva amenaza de puerta trasera

MoonWalk es una puerta trasera de malware también escrita en C que comparte muchas similitudes de código con DodgeBox, lo que sugiere un conjunto de herramientas de desarrollo compartido. También contiene funciones de derivación similares a las de DodgeBox, que incluyen:

  • DLL ahuecado
  • Resolución de importación
  • DLL desenganchando
  • Falsificando la pila de llamadas

Además, MoonWalk utiliza la misma lista de bloqueo de DLL que DodgeBox. Por lo tanto, MoonWalk representa un nuevo nivel de amenaza. Utiliza Google Drive para la comunicación C2, lo que hace que se mezcle con el tráfico legítimo de la red y sea difícil de detectar. Además, MoonWalk utiliza técnicas innovadoras como la manipulación de Windows Fibers para evitar las soluciones antivirus y EDR (Endpoint Detección y Respuesta). Estas técnicas hacen de MoonWalk una de las puertas traseras más complejas descubiertas hasta la fecha. El diseño modular de MoonWalk permite a los atacantes adaptar rápidamente la funcionalidad de la puerta trasera para satisfacer diferentes necesidades. Esta flexibilidad presenta un desafío importante para los investigadores de seguridad y los equipos azules que se enfrentan a esta amenaza en constante evolución.

DodgeBox y Moonwalk se están extendiendo por el sudeste asiático

El examen de los datos de telemetría muestra que DodgeBox y MoonWalk se dirigen particularmente a regiones del sudeste asiático, incluidas Tailandia y Taiwán. Esta observación es consistente con casos anteriores en los que APT41 utilizó StealthVector para sus campañas dirigidas principalmente a usuarios de la región del Sudeste Asiático (SEA). Además, se descubrieron datos personales de personas de la India en la cuenta de Google Drive controlada por el actor de malware, lo que sugiere que el grupo puede tener objetivos adicionales en la India en mente.

Mal uso de Google Drive

DodgeBox es un cargador de malware recientemente identificado que utiliza múltiples técnicas para evadir la detección tanto estática como de comportamiento. El cargador se basa en una combinación de TTP conocidos, posibles países objetivo y similitudes con StealthVector. La carga útil descendente MoonWalk es una puerta trasera modular que se basa en técnicas previamente desconocidas, como el uso de Windows Fibers.

Estas técnicas de evasión, combinadas con el uso de un complejo protocolo de comunicación C2 personalizado que abusa de Google Drive para infiltrarse en el tráfico legítimo, demuestran la alta sofisticación de los atacantes APT41. Los analistas de ThreatLabz continúan monitoreando las últimas tácticas, técnicas y procedimientos (TTP) de este actor de amenazas. La plataforma de seguridad en la nube multifuncional de Zscaler detecta los indicadores de compromiso (IoC) y protege a los clientes de nuevos métodos de ataque. Además, los conocimientos de los análisis se comparten con la comunidad de seguridad.

Vaya directamente al informe en Zscaler.com

 

Acerca de Zscaler

Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.

 

Artículos relacionados con el tema

Los CIO modernos tienen diversas tareas

El papel de los CIO modernos ha cambiado significativamente: en el pasado, los CIO eran los principales responsables de mantener las operaciones de TI de las empresas. ➡ Leer más

Más de 130.000 filtraciones de datos en Europa en 2024

En 15 países europeos, en 2024 se produjeron más de 365 violaciones de protección de datos cada día, según los resultados de un análisis reciente. En Alemania ➡ Leer más

Ataques DDoS: el medio más importante de guerra cibernética

En la segunda mitad de 2024, hubo al menos 8.911.312 ataques DDoS en todo el mundo, según los resultados de un reciente Informe de inteligencia de amenazas DDoS. ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Ley de Ciberresiliencia: Las empresas deben actuar ahora

La Ley de Resiliencia Cibernética (CRA) está avanzando a grandes pasos. Para los fabricantes, esto significa que los dispositivos con vulnerabilidades de seguridad explotables pronto ya no estarán disponibles. ➡ Leer más

El uso de herramientas de IA/ML aumentó en un 3000 por ciento

Las herramientas de IA/ML son populares, según los resultados de un informe reciente sobre amenazas. Sin embargo, un uso creciente también conlleva riesgos de seguridad. Ciberdelincuentes ➡ Leer más

Vishing: los delincuentes recurren a ataques de phishing de voz

Utilizando deepfakes creados por IA, los ciberdelincuentes imitan voces confiables. El vishing se ha disparado en la segunda mitad de 2024, según los resultados de un ➡ Leer más

Índice de confianza digital: la confianza en los servicios digitales está disminuyendo

La confianza digital o el miedo a una filtración de datos influyen en si los consumidores recurren a las marcas o las abandonan, según los resultados ➡ Leer más

Stories
, , , , , ,