DodgeBox 是一個載入程式,它會載入名為 MoonWalk 的新後門
知名資安外媒The Hacker News報導,中國駭客組織APT41使用已知惡意軟體StealthVector 的「高級升級版」來投放先前未紀錄過的後門名為MoonWalk。
2024年4月Zscaler ThreatLabz 發現了 StealthVector的新變種,被Zscaler 認定為改進版本的DodgeBox。DodgeBox與StealthVector一樣,是一個用C語言編寫的Shell代碼載入器,可以配置各種功能——包括「解密和加載嵌入的DLL、進行環境檢查和綁定以及執行清理程式。」
然而與StealthVector相比,DodgeBox在其實施上有顯著改進。DodgeBox的一些功能包括加密——它使用AES密碼反饋(AES-CFB)模式加密其配置。它還進行一系列環境檢查,以確保它達到了正確的目標並擁有正確的權限,以確保最大限度地訪問受害者的系統。
安全研究人員表示,DodgeBox 是一個載入程式,它會載入一個名為MoonWalk的新後門。同時也結合了呼叫堆疊誘騙、DLL側載和DLL空洞等的各種技術。MoonWalk擁有DodgeBox的許多規避技術,並利用Google Drive 進行命令和控制通訊。目前尚不清楚惡意軟體傳播的確切方法。
研究人員表示, APT41採用DLL側載作為執行DodgeBox的一種方式。利用由Sandboxie簽署的合法可執行檔(taskhost.exe)來側載惡意DLL(sbiedll.dll)。”流氓DLL (即DodgeBox) 是一個用C語言編寫的DLL載入器,充當解密和啟動第二階段有效負載(MoonWalk 後門)的管道。
將DodgeBox 歸屬於APT41源自於DodgeBox與StealthVector的相似之處 ; 使用DLL側面加載,這是China-nexus組織廣泛使用的技術,用於傳播PlugX等惡意軟體 ; 事實上,DodgeBox樣本已從泰國和台灣提交給VirusTotal。
APT41自2007年來一直活躍至今,APT41也被稱為Barium、Wicked Panda、Wicked Spider和Earth Baku——與中國國家安全部有密切聯繫。除了數位間諜活動外,該組織還偶爾進行以金錢為目的的犯罪行為。Google的Mandiant安全單位認為這是該組織資助其間諜活動的方式。多年來,美國政府已指控APT41成員入侵全球超過100名受害多家公司的電腦網路。
2021年5月至2022年2月期間該威脅組織與對美國州政府網路的入侵有關,此外還使用名為Google Command and Control(GC2)的開源紅隊工具針對台灣媒體組織發動攻擊。
APT41相關的部分的入侵指標(IOCs):
0d068b6d0523f069d1ada59c12891c4a
294cc02db5a122e3a1bc4f07997956da
393065ef9754e3f39b24b2d1051eab61
4141c4b827ff67c180096ff5f2cc1474
72070b165d1f11bd4d009a81bf28a3e5
b3067f382d70705d4c8f6977a7d7bee4
bc85062de0f70afd44bb072b0b71a8cc
bcac2cbda36019776d7861f12d9b59c4
d72f202c1d684c9a19f075290a60920f
f062183da590aba5e911d2392bc29181