Η hacking συμμορία APT41 χρησιμοποιεί το κακόβουλο λογισμικό StealthVector

Η κακόβουλη συμμορία APT41 από την Κίνα, θεωρείται ύποπτη για τη χρήση μιας “προηγμένης και αναβαθμισμένης έκδοσης” του κακόβουλου λογισμικού (malware) StealthVector, προκειμένου να παραδώσει μη τεκμηριωμένο μέχρι πρότινος backdoor με την ονομασία MoonWalk.

Η νέα παραλλαγή του StealthVector, γνωστή και ως DUSTPAN, έχει κωδική ονομασία DodgeBox από την ομάδα Zscaler ThreatLabz, η οποία ανακάλυψε το στέλεχος του loader τον Απρίλιο του 2024.

Δείτε ακόμα: Χάκερς διακινούν κακόβουλο λογισμικό USB μέσω ιστότοπων

«Το DodgeBox είναι ένας loader που ενεργοποιεί τη φόρτωση ενός νέου backdoor, γνωστού ως MoonWalk», όπως δήλωσαν οι ερευνητές ασφαλείας Yin Hong Chang και Sudeep Singh. «Το MoonWalk μοιράζεται πολλές τεχνικές αποφυγής που χρησιμοποιεί και το DodgeBox, ενώ χρησιμοποιεί το Google Drive για επικοινωνία εντολών και ελέγχου (C2).

Το APT41 είναι το όνομα ενός κρατικά χρηματοδοτούμενου παράγοντα απειλών που συνδέεται με την Κίνα και είναι ενεργός τουλάχιστον από το 2007 και εξακολουθεί να μένει παραγωγικός. Η ευρύτερη κοινότητα κυβερνοασφάλειας το παρακολουθεί επίσης με τα ονόματα Axiom, Blackfly, Brass Typhoon (πρώην Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda και Winnti.

Τον Σεπτέμβριο του 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ανακοίνωσε κατηγορίες εναντίον αρκετών παραγόντων απειλών που σχετίζονται με την ομάδα hacking, κατηγορώντας τους για παραβιάσεις σε πάνω από 100 εταιρείες παγκοσμίως.

«Οι χάκερς κατάφεραν να κλέψουν πηγαίο κώδικα, πιστοποιητικά υπογραφής κώδικα λογισμικού, δεδομένα πελατών και πολύτιμες επιχειρηματικές πληροφορίες», δήλωσε το DoJ, προσθέτοντας ότι υποστήριξαν και άλλα εγκληματικά προγράμματα, συμπεριλαμβανομένων ransomware και προγραμμάτων κρυπτογράφησης.

Τα τελευταία χρόνια, η ομάδα απειλών συνδέθηκε με παραβιάσεις δικτύων της κυβέρνησης των ΗΠΑ μεταξύ Μαΐου 2021 και Φεβρουαρίου 2022, καθώς και με επιθέσεις σε οργανισμούς μέσων ενημέρωσης της Ταϊβάν, χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα, γνωστό ως Google Command and Control (GC2).

Διαβάστε περισσότερα: Ο server ενός προμηθευτή ERP παραβιάστηκε για διανομή του Xctdoor backdoor

Η χρήση του StealthVector από το APT41 τεκμηριώθηκε για πρώτη φορά από την Trend Micro τον Αύγουστο του 2021. Περιγράφηκε ως φορτωτής κώδικα κελύφους γραμμένος σε C/C++, χρησιμοποιούμενος για την παράδοση του Cobalt Strike Beacon και του εμφυτεύματος κελύφους που ονομάζεται ScrambleCross (γνωστός και ως SideWalk).

Το DodgeBox θεωρείται βελτιωμένη έκδοση του StealthVector, ενσωματώνοντας τεχνικές όπως η πλαστογράφηση στοίβας κλήσεων, το DLL side-loading και η χρήση ψεύτικου DLL για την αποφυγή εντοπισμού. Η μέθοδος διάδοσης του κακόβουλου λογισμικού παραμένει άγνωστη.

“Το APT41 χρησιμοποιεί πλευρική φόρτωση DLL για την εκτέλεση του DodgeBox”, ανέφεραν οι ερευνητές. “Χρησιμοποιούν ένα νόμιμο εκτελέσιμο αρχείο (taskhost.exe), υπογεγραμμένο από το Sandboxie, για να φορτώσουν ένα κακόβουλο DLL (sbiedll.dll).”

Το ψεύτικο DLL, δηλαδή το DodgeBox, είναι ένας loader DLL γραμμένος σε C που λειτουργεί ως αγωγός για την αποκρυπτογράφηση και εκκίνηση ενός ωφέλιμου φορτίου δεύτερου σταδίου, του MoonWalk backdoor.

Η απόδοση του DodgeBox στο APT41 προκύπτει από τις ομοιότητες μεταξύ του DodgeBox και του StealthVector, τη χρήση πλευρικής φόρτωσης DLL – μια τεχνική ευρέως χρησιμοποιούμενη από ομάδες με σύνδεση στην Κίνα για την παράδοση κακόβουλου λογισμικού όπως το PlugX – και το γεγονός ότι δείγματα DodgeBox έχουν υποβληθεί στο VirusTotal από την Ταϊλάνδη και την Ταϊβάν.

“Το DodgeBox είναι ένας πρόσφατα αναγνωρισμένος loader κακόβουλου λογισμικού που χρησιμοποιεί πολλαπλές τεχνικές για να αποφύγει τον στατικό και συμπεριφορικό εντοπισμό”, δήλωσαν οι ερευνητές.

Δείτε επίσης: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor

Προσφέρει διάφορες δυνατότητες, όπως αποκρυπτογράφηση και φόρτωση ενσωματωμένων DLL, εκτέλεση ελέγχων και περιβαλλοντικών ελέγχων, καθώς και υλοποίηση διαδικασιών εκκαθάρισης.

Πηγή: thehackernews