APT41 hat mit DodgeBox und Moonwalk aufgerüstet
Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie DodgeBox entdeckt. Einen bisher unbekannten Loader, der auffällige Ähnlichkeiten mit StealthVector zeigt. DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2). DodgeBox-Angriffskette Im Rahmen eines Angriffes…