تقوم شركة APT41 الصينية بترقية ترسانة البرامج الضارة باستخدام DodgeBox وMoonWalk
يشتبه في أن مجموعة التهديدات المستمرة المتقدمة (APT) المرتبطة بالصين والتي تحمل الاسم الرمزي APT41 تستخدم “إصدارًا متقدمًا ومحدثًا” من برنامج ضار معروف يسمى StealthVector لتقديم باب خلفي غير موثق سابقًا يطلق عليه اسم MoonWalk.
تم تسمية الإصدار الجديد من StealthVector – والذي يشار إليه أيضًا باسم DUSTPAN – بـ DodgeBox بواسطة Zscaler ThreatLabz، التي اكتشفت سلالة اللودر في أبريل 2024.
“DodgeBox عبارة عن أداة تحميل تقوم بتحميل باب خلفي جديد يسمى MoonWalk،” هذا ما قاله الباحثان الأمنيان Yin Hong Chang وSudeep Singh. قال. “يشارك MoonWalk العديد من تقنيات التهرب المطبقة في DodgeBox ويستخدم Google Drive للاتصال بالقيادة والتحكم (C2).”
APT41 هو اللقب المخصص لجهة تهديد غزيرة الإنتاج ترعاها الدولة تابعة للصين ومن المعروف أنها نشطة منذ عام 2007 على الأقل. ويتم تتبعها أيضًا من قبل مجتمع الأمن السيبراني الأوسع تحت أسماء Axiom، وBlackfly، وBrass Typhoon (Barium سابقًا)، وBronze Atlas. و إيرث باكو و هودو و ريد كيلبي و TA415 و ويكيد باندا و وينتي.
في سبتمبر 2020، أعلنت وزارة العدل الأمريكية (DoJ) عن توجيه الاتهام للعديد من الجهات الفاعلة في مجال التهديد المرتبطة بطاقم القرصنة لتنظيم حملات اقتحام تستهدف أكثر من 100 شركة في جميع أنحاء العالم.
“التطفلات […] وقالت وزارة العدل في ذلك الوقت: “لقد سهلت سرقة كود المصدر، وشهادات توقيع كود البرنامج، وبيانات حساب العميل، ومعلومات الأعمال القيمة”، مضيفة أنها مكنت أيضًا “مخططات إجرامية أخرى، بما في ذلك برامج الفدية ومخططات سرقة العملات المشفرة”.
على مدى السنوات القليلة الماضية، تم ربط مجموعة التهديد بانتهاكات شبكات حكومة الولاية الأمريكية بين مايو 2021 وفبراير 2022، بالإضافة إلى الهجمات التي تستهدف المؤسسات الإعلامية التايوانية باستخدام أداة الفريق الأحمر مفتوحة المصدر المعروفة باسم Google Command and Control (GC2). ).
تم استخدام StealthVector بواسطة APT41 تم توثيقه لأول مرة بواسطة Trend Micro في أغسطس 2021، واصفة إياه بأنه مُحمل كود القشرة المكتوب بلغة C/C++ والذي يُستخدم لتوصيل Cobalt Strike Beacon وزرع كود القشرة المسمى ScrambleCross (المعروف أيضًا باسم SideWalk).
تم تقييم DodgeBox على أنه نسخة محسنة من StealthVector، مع دمج تقنيات مختلفة مثل خداع مكدس الاستدعاءات، والتحميل الجانبي لـ DLL، وتفريغ DLL لتجنب الكشف. الطريقة الدقيقة التي يتم بها توزيع البرامج الضارة غير معروفة حاليًا.
وقال الباحثون: “تستخدم APT41 التحميل الجانبي لـ DLL كوسيلة لتنفيذ DodgeBox”. “إنهم يستخدمون ملفًا شرعيًا قابلاً للتنفيذ (taskhost.exe)، موقعًا بواسطة Sandboxie، لتحميل ملف DLL ضار (sbiedll.dll).”
إن DLL المارقة (على سبيل المثال، DodgeBox) عبارة عن محمل DLL مكتوب بلغة C ويعمل كقناة لفك تشفير وإطلاق حمولة المرحلة الثانية، الباب الخلفي MoonWalk.
يتميز MoonWalk، المكتوب بلغة C، بتصميم معياري يمكّن الجهات الفاعلة في مجال التهديد من زيادة قدراتها من خلال المكونات الإضافية، وتكييف سلوكها، وتنفيذ مهام مخصصة. كما أنه مجهز لجمع معلومات البيئة وتنفيذ الأوامر المرسلة من خادم C2.
وقال الباحثون إن الباب الخلفي “يقدم تقنيات مبتكرة، بما في ذلك استخدام ألياف Windows، والتي لا تتم ملاحظتها بشكل شائع”. قال. “تقنيات التهرب هذه [are] مقترنًا باستخدام بروتوكول اتصال C2 معقد ومخصص يسيء استخدام Google Drive للتوافق مع حركة المرور المشروعة.”
ينبع إسناد DodgeBox إلى APT41 من أوجه التشابه بين DodgeBox وStealthVector؛ واستخدام التحميل الجانبي لمكتبة الارتباط الحيوي (DLL)، وهي تقنية تستخدم على نطاق واسع من قبل مجموعات China-nexus لتقديم برامج ضارة مثل PlugX؛ وحقيقة أن عينات DodgeBox قد تم تقديمها إلى VirusTotal من تايلاند وتايوان، وهي مناطق ذات أهمية استراتيجية للصين.
وقال الباحثون: “DodgeBox عبارة عن أداة تحميل برامج ضارة تم تحديدها حديثًا وتستخدم تقنيات متعددة لتجنب الكشف الثابت والسلوكي”.
“إنه يوفر إمكانات متنوعة، بما في ذلك فك تشفير وتحميل ملفات DLL المضمنة، وإجراء فحوصات البيئة والارتباطات، وتنفيذ إجراءات التنظيف.”
إرسال التعليق