Er wordt vermoed dat de aan China gelinkte Advanced Persistent Threat (APT)-groep met codenaam APT41 gebruikmaakt van een ‘geavanceerde en verbeterde versie’ van een bekende malware genaamd StealthVector om een tot nu toe niet gedocumenteerde backdoor met de naam MoonWalk te verspreiden.
De nieuwe variant van StealthVector – ook wel DUSTPAN genoemd – heeft de codenaam DodgeBox gekregen van Zscaler ThreatLabz, dat de loader-stam in april 2024 ontdekte.
“DodgeBox is een loader die een nieuwe backdoor genaamd MoonWalk laadt,” aldus beveiligingsonderzoekers Yin Hong Chang en Sudeep Singh. “MoonWalk deelt veel ontwijkingstechnieken die zijn geïmplementeerd in DodgeBox en gebruikt Google Drive voor command-and-control (C2) communicatie.”
APT41 is de bijnaam die is toegewezen aan een productieve door de staat gesponsorde dreigingsactor die gelieerd is aan China en waarvan bekend is dat hij sinds ten minste 2007 actief is. Het wordt ook gevolgd door de bredere cybersecuritygemeenschap onder de namen Axiom, Blackfly, Brass Typhoon (voorheen Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda en Winnti.
In september 2020 maakte het Amerikaanse ministerie van Justitie (DoJ) bekend dat verschillende hackers, die banden hadden met de hackersbende, waren aangeklaagd voor het organiseren van inbraakcampagnes die gericht waren op meer dan 100 bedrijven over de hele wereld.
“De inbraken (…) maakten de diefstal van broncode, certificaten voor ondertekening van softwarecodes, gegevens van klantaccounts en waardevolle bedrijfsinformatie mogelijk”, aldus het Amerikaanse ministerie van Justitie destijds. Het ministerie voegde daaraan toe dat ze ook “andere criminele praktijken, waaronder ransomware en ‘crypto-jacking’-praktijken” mogelijk maakten.
De afgelopen jaren is de groep in verband gebracht met inbraken in netwerken van de Amerikaanse overheid tussen mei 2021 en februari 2022. Ook zijn er aanvallen uitgevoerd op Taiwanese mediaorganisaties met behulp van een open-source red teaming-tool genaamd Google Command and Control (GC2).
Het gebruik van StealthVector door APT41 werd voor het eerst gedocumenteerd door Trend Micro in augustus 2021, waarbij het werd omschreven als een shellcode-loader geschreven in C/C++ die wordt gebruikt om Cobalt Strike Beacon en een shellcode-implantaat genaamd ScrambleCross (ook bekend als SideWalk) te leveren.
DodgeBox wordt beoordeeld als een verbeterde versie van StealthVector, terwijl het ook verschillende technieken zoals call stack spoofing, DLL side-loading en DLL hollowing gebruikt om detectie te ontwijken. De exacte methode waarmee de malware wordt verspreid is momenteel onbekend.
“APT41 gebruikt DLL side-loading als een manier om DodgeBox uit te voeren,” aldus de onderzoekers. “Ze gebruiken een legitiem uitvoerbaar bestand (taskhost.exe), ondertekend door Sandboxie, om een kwaadaardige DLL (sbiedll.dll) te sideloaden.”
De frauduleuze DLL (bijvoorbeeld DodgeBox) is een DLL-loader geschreven in C die fungeert als kanaal voor het decoderen en lanceren van een payload van de tweede fase, de MoonWalk-backdoor.
De toeschrijving van DodgeBox aan APT41 komt voort uit de overeenkomsten tussen DodgeBox en StealthVector; het gebruik van DLL side-loading, een techniek die veel wordt gebruikt door China-nexus-groepen om malware zoals PlugX te verspreiden; en het feit dat DodgeBox-samples vanuit Thailand en Taiwan naar VirusTotal zijn gestuurd.
“DodgeBox is een onlangs ontdekte malware-loader die gebruikmaakt van meerdere technieken om zowel statische als gedragsmatige detectie te omzeilen”, aldus de onderzoekers.
“Het biedt verschillende mogelijkheden, waaronder het decoderen en laden van ingebedde DLL’s, het uitvoeren van omgevingscontroles en bindingen, en het uitvoeren van opruimprocedures.”
