11 juillet 2024RédactionCyber-espionnage / Sécurité des réseaux

Le groupe de menaces persistantes avancées (APT) lié à la Chine, nommé APT41, est soupçonné d’utiliser une « version avancée et améliorée » d’un malware connu appelé StealthVector pour diffuser une porte dérobée jusqu’alors non documentée baptisée MoonWalk.

La nouvelle variante de StealthVector – également appelée DUSTPAN – a été baptisée DodgeBox par Zscaler ThreatLabz, qui a découvert la souche du chargeur en avril 2024.

« DodgeBox est un chargeur qui procède au chargement d’une nouvelle porte dérobée appelée MoonWalk », ont déclaré les chercheurs en sécurité Yin Hong Chang et Sudeep Singh. dit« MoonWalk partage de nombreuses techniques d’évasion implémentées dans DodgeBox et utilise Google Drive pour la communication de commande et de contrôle (C2). »

APT41 est le surnom attribué à un acteur de menace prolifique parrainé par l’État et affilié à la Chine, connu pour être actif depuis au moins 2007. Il est également suivi par la communauté plus large de la cybersécurité sous les noms d’Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda et Winnti.

La cyber-sécurité

En septembre 2020, le ministère américain de la Justice (DoJ) a annoncé l’inculpation de plusieurs acteurs malveillants associés à l’équipe de pirates informatiques pour avoir orchestré des campagnes d’intrusion ciblant plus de 100 entreprises à travers le monde.

« Les intrusions […] « Ils ont facilité le vol de code source, de certificats de signature de code logiciel, de données de comptes clients et d’informations commerciales précieuses », a déclaré le ministère de la Justice à l’époque, ajoutant qu’ils ont également permis « d’autres stratagèmes criminels, notamment des ransomwares et des stratagèmes de « crypto-jacking » ».

Au cours des dernières années, le groupe de menace a été lié à des violations des réseaux du gouvernement des États américains entre mai 2021 et février 2022, en plus d’attaques ciblant des organisations de médias taïwanaises à l’aide d’un outil de red teaming open source connu sous le nom de Google Command and Control (GC2).

APT41 chinois

L’utilisation de StealthVector par APT41 a été premier documenté par Trend Micro en août 2021, le décrivant comme un chargeur de shellcode écrit en C/C++ utilisé pour fournir Cobalt Strike Beacon et un implant de shellcode nommé ScrambleCross (alias SideWalk).

DodgeBox est considéré comme une version améliorée de StealthVector, tout en intégrant diverses techniques telles que l’usurpation de la pile d’appels, le chargement latéral de DLL et le creusement de DLL pour échapper à la détection. La méthode exacte par laquelle le malware est distribué est actuellement inconnue.

« APT41 utilise le chargement latéral de DLL comme moyen d’exécuter DodgeBox », ont déclaré les chercheurs. « Ils utilisent un exécutable légitime (taskhost.exe), signé par Sandboxie, pour charger latéralement une DLL malveillante (sbiedll.dll). »

La cyber-sécurité

La DLL malveillante (c’est-à-dire DodgeBox) est un chargeur DLL écrit en C qui agit comme un conduit pour décrypter et lancer une charge utile de deuxième étape, la porte dérobée MoonWalk.

L’attribution de DodgeBox à APT41 découle des similitudes entre DodgeBox et StealthVector ; de l’utilisation du chargement latéral de DLL, une technique largement utilisée par les groupes liés à la Chine pour diffuser des logiciels malveillants tels que PlugX ; et du fait que des échantillons de DodgeBox ont été soumis à VirusTotal depuis la Thaïlande et Taiwan.

«DodgeBox est un chargeur de malware nouvellement identifié qui utilise plusieurs techniques pour échapper à la détection statique et comportementale», ont déclaré les chercheurs.

« Il offre diverses fonctionnalités, notamment le décryptage et le chargement de DLL intégrées, la réalisation de vérifications et de liaisons d’environnement, ainsi que l’exécution de procédures de nettoyage. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.





ttn-fr-57