DodgeBox: новый загрузчик от APT41 мастерски обходит азиатские файрволы
Китайские хакеры годами оттачивали свои навыки для скрытной кражи бизнес-секретов.
Группировка APT41, связанная с Китаем, подозревается в использовании «усовершенствованной версии» известного вредоносного ПО StealthVector для доставки нового бэкдора под названием MoonWalk. Новый вариант StealthVector получил кодовое имя DodgeBox от специалистов Zscaler, обнаруживших его в апреле 2024 года.
DodgeBox представляет собой загрузчик, который загружает новый бэкдор MoonWalk. Исследователи безопасности Йин Хонг Чанг и Судип Сингх отметили, что MoonWalk использует множество техник уклонения, применяемых в DodgeBox, и использует Google Drive для C2-коммуникаций.
По данным экспертов, APT41 действует как минимум с 2007 года. Она также известна под другими именами, такими как Axiom, Blackfly и Brass Typhoonю. В сентябре 2020 года Министерство юстиции США объявило о предъявлении обвинений нескольким участникам этой группы за взлом более 100 компаний по всему миру. Эти атаки способствовали краже исходного кода, сертификатов подписи программного обеспечения, данных учётных записей клиентов и важной бизнес-информации.
За последние несколько лет APT41 была связана с многократными нарушениями сетей правительств американских штатов, а также с атаками на тайваньские медиа-организации с использованием инструмента GC2. Использование StealthVector этой группой было впервые задокументировано компанией Trend Micro в августе 2021 года. Данный загрузчик написан на C/C++ и используется для доставки Cobalt Strike Beacon и другого вредоносного ПО.
DodgeBox считается улучшенной версией StealthVector, включающей такие техники, как подмена стека вызовов, DLL Sideloading и DLL Hollowing для уклонения от обнаружения. Методы распространения этого вредоносного ПО пока неизвестны.
Исследователи сообщают, что APT41 использует DLL Sideloading для выполнения DodgeBox, задействуя легитимный исполняемый файл (taskhost.exe), подписанный Sandboxie, для загрузки вредоносной библиотеки (sbiedll.dll). DodgeBox представляет собой DLL-загрузчик, написанный на C, который расшифровывает и запускает второй этап загрузки — бэкдор MoonWalk.
Атрибуция DodgeBox к APT41 основана на сходстве программы со StealthVector, использовании DLL Sideloading и том факте, что образцы DodgeBox были отправлены в VirusTotal из Таиланда и Тайваня.
Исследователи отмечают, что DodgeBox является новым вредоносным загрузчиком, который использует множество техник для уклонения от обнаружения и предлагает различные возможности, включая расшифровку и загрузку встроенных DLL, проверку окружения и выполнение процедур очистки.
Пока киберпреступники продолжают развивать свои инструменты для обхода существующих защитных механизмов, организациям следует уделять больше внимания мониторингу и обновлению своих систем безопасности, чтобы противостоять этим постоянно эволюционирующим угрозам.