A equipe APT41 da China adiciona um carregador de malware furtivo e um novo backdoor à sua caixa de ferramentas

A gangue de espionagem cibernética APT41, apoiada pelo governo chinês, provavelmente adicionou um carregador chamado DodgeBox e um backdoor chamado MoonWalk à sua caixa de ferramentas de malware, de acordo com a equipe de pesquisa ThreatLabz do provedor de serviços de segurança em nuvem Zscaler.

APT41 – também conhecido como Barium, Wicked Panda, Wicked Spider e Earth Baku – tem laços com o Ministério da Segurança do Estado chinês. Além da espionagem digital, a equipe também realiza crimes motivados financeiramente [PDF] ocasionalmente. A unidade de segurança Mandiant do Google acredita que é assim que a gangue financia suas operações de espionagem.

Ao longo dos anos, o governo dos EUA acusou os membros do APT41 de invadir redes de computadores pertencentes a mais de 100 vítimas em todo o mundo.

As táticas, técnicas e procedimentos (TTPs) que a equipe do Zscaler observou nesta campanha – incluindo o sideloading de DLL – e a semelhança do código do malware DodgeBox com Vetor furtivo malware, levou os caçadores de ameaças a atribuir as intrusões com confiança média ao APT41.

Em um análise técnica publicado na quarta-feira, os pesquisadores do ThreatLabz Yin Hong Chang e Sudeep Singh escreveram que “a análise da telemetria disponível no VirusTotal revela que amostras do DodgeBox foram enviadas da Tailândia e de Taiwan”.

“Essa observação está alinhada com instâncias anteriores do APT41 empregando o StealthVector em campanhas que visavam principalmente usuários na região do Sudeste Asiático (SEA)”, acrescentaram.

Em abril, a Zscaler descobriu o Dodgebox e opinou que ele se assemelha muito ao StealthVector do APT41. Como o StealthVector, o DodgeBox é um carregador de shellcode escrito em C que pode ser configurado com vários recursos – incluindo “descriptografar e carregar DLLs incorporados, conduzir verificações e ligações de ambiente e executar procedimentos de limpeza”.

O DodgeBox, no entanto, “incorpora melhorias significativas em sua implementação” em comparação ao StealthVector, afirmam Chang e Singh. Algumas das capacidades do DodgeBox incluem criptografia – ele usa o modo AES Cipher Feedback (AES-CFB) para criptografar sua configuração. Ele também realiza uma série de verificações ambientais para garantir que atingiu o alvo correto e tem os privilégios certos para garantir o acesso máximo ao sistema da vítima.

Além disso, ele executa uma série de etapas para evitar a detecção, incluindo falsificação de pilha de chamadas, e então executa procedimentos de limpeza para se remover do sistema da vítima.

“O que diferencia o DodgeBox de outros malwares são seus algoritmos e técnicas exclusivos”, Chang e Singh escreveu.

Como parte do processo de configuração, o malware resolve várias APIs, nos disseram. Ele também realiza verificações de ambiente para garantir que atingiu o alvo correto. “Notavelmente, o DodgeBox emprega um hash FNV1a salgado para nomes de DLL e função”, observaram os pesquisadores.

Esse hash salgado ajuda a evitar detecções estáticas e também permite que diferentes amostras do DodgeBox usem valores distintos para a mesma DLL e função, os dois explicaram. O malware então escaneia as DLLs e verifica se o Windows Control Flow Guard (CFG) está habilitado. Esse é um recurso de segurança que previne vulnerabilidades de corrupção de memória em aplicativos do Windows – se estiver habilitado, o malware tenta desabilitá-lo.

Por fim, ele realiza verificações para verificar se está configurado corretamente e rodando com privilégios de sistema. Se essas condições não forem atendidas, o malware é encerrado.

Caso contrário, supondo que ainda esteja ativo após essas verificações, o DodgeBox entra na fase final e descriptografa sua carga útil: o backdoor MoonWalk, que ele instala como um arquivo DAT na máquina infectada.

A Zscaler promete fornecer mais detalhes sobre o que o backdoor MoonWalk realmente permite na segunda parte de sua postagem de blog, que não foi publicada no momento da escrita. Tudo o que ele revela na parte um é que o backdoor “compartilha muitas técnicas de evasão implementadas no DodgeBox e utiliza o Google Drive para comunicação de comando e controle (C2)”. ®