Se sospecha que el grupo de amenazas persistentes avanzadas (APT) vinculado a China, cuyo nombre en c\u00f3digo es APT41, utiliza una “versi\u00f3n avanzada y mejorada” de un malware conocido llamado StealthVector para distribuir una puerta trasera previamente no documentada denominada MoonWalk.<\/p>\n
La nueva variante de StealthVector, tambi\u00e9n conocida como DUSTPAN, recibi\u00f3 el nombre en c\u00f3digo de DodgeBox por parte de Zscaler ThreatLabz, que descubri\u00f3 la cepa del cargador en abril de 2024.<\/p>\n
“DodgeBox es un cargador que procede a cargar una nueva puerta trasera llamada MoonWalk”, dijeron los investigadores de seguridad Yin Hong Chang y Sudeep Singh. dicho<\/a>“MoonWalk comparte muchas t\u00e9cnicas de evasi\u00f3n implementadas en DodgeBox y utiliza Google Drive para la comunicaci\u00f3n de comando y control (C2)”.<\/p>\n APT41 es el apodo asignado a un prol\u00edfico actor de amenazas patrocinado por un estado afiliado a China que se sabe que est\u00e1 activo desde al menos 2007. La comunidad de ciberseguridad m\u00e1s amplia tambi\u00e9n lo rastrea bajo los nombres de Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda y Winnti.<\/p>\n En septiembre de 2020, el Departamento de Justicia de EE. UU. (DoJ) anunci\u00f3 la acusaci\u00f3n formal de varios actores de amenazas asociados con el equipo de piratas inform\u00e1ticos por orquestar campa\u00f1as de intrusi\u00f3n dirigidas a m\u00e1s de 100 empresas en todo el mundo.<\/p>\n “Las intrusiones […] “facilit\u00f3 el robo de c\u00f3digo fuente, certificados de firma de c\u00f3digo de software, datos de cuentas de clientes e informaci\u00f3n comercial valiosa”, dijo el Departamento de Justicia en ese momento, y agreg\u00f3 que tambi\u00e9n permitieron “otros esquemas criminales, incluidos ransomware y esquemas de ‘crypto-jacking'”.<\/p>\n En los \u00faltimos a\u00f1os, el grupo de amenazas ha estado vinculado a violaciones de las redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022, adem\u00e1s de ataques dirigidos a organizaciones de medios de comunicaci\u00f3n taiwanesas que utilizan una herramienta de equipo rojo de c\u00f3digo abierto conocida como Google Command and Control (GC2).<\/p>\n El uso de StealthVector por APT41 fue documentado por primera vez<\/a> por Trend Micro en agosto de 2021, describi\u00e9ndolo como un cargador de shellcode escrito en C\/C++ que se utiliza para entregar Cobalt Strike Beacon y un implante de shellcode llamado ScrambleCross (tambi\u00e9n conocido como SideWalk).<\/p>\n Se considera que DodgeBox es una versi\u00f3n mejorada de StealthVector, que tambi\u00e9n incorpora varias t\u00e9cnicas como suplantaci\u00f3n de pila de llamadas, carga lateral de DLL y vaciado de DLL para evadir la detecci\u00f3n. Actualmente se desconoce el m\u00e9todo exacto por el que se distribuye el malware.<\/p>\n “APT41 utiliza la carga lateral de DLL como medio para ejecutar DodgeBox”, dijeron los investigadores. “Utilizan un ejecutable leg\u00edtimo (taskhost.exe), firmado por Sandboxie, para cargar lateralmente una DLL maliciosa (sbiedll.dll)”.<\/p>\n La DLL maliciosa (es decir, DodgeBox) es un cargador de DLL escrito en C que act\u00faa como un conducto para descifrar y lanzar una carga \u00fatil de segunda etapa, la puerta trasera MoonWalk.<\/p>\n La atribuci\u00f3n de DodgeBox a APT41 se debe a las similitudes entre DodgeBox y StealthVector; el uso de carga lateral de DLL, una t\u00e9cnica ampliamente utilizada por grupos con nexo con China para distribuir malware como PlugX; y el hecho de que se han enviado muestras de DodgeBox a VirusTotal desde Tailandia y Taiw\u00e1n.<\/p>\n “DodgeBox es un cargador de malware recientemente identificado que emplea m\u00faltiples t\u00e9cnicas para evadir la detecci\u00f3n tanto est\u00e1tica como conductual”, dijeron los investigadores.<\/p>\n “Ofrece varias capacidades, entre ellas descifrar y cargar DLL integradas, realizar comprobaciones y vinculaciones del entorno y ejecutar procedimientos de limpieza”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/APT41-chino-actualiza-su-arsenal-de-malware-con-DodgeBox-y.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n