ADVERTISEMENT
據雲端安全服務供應商 Zscaler 的 ThreatLabz 研究團隊稱,中國政府所支持的網路間諜組織 APT41 極有可能在其惡意軟體工具包中增加了名為 DodgeBox 的載入程式和名為 MoonWalk 的後門。
APT41(也稱為 Barium、Wicked Panda、Wicked Spider 和 Earth Baku)與中國國家安全部有關聯。除了數位間諜活動外,該組織還偶爾從事以金錢為目的的犯罪活動 。Google 的 Mandiant 安全部門認為,這就是該組織資助其間諜活動的方式。
多年來,美國政府指控 APT41 成員入侵了全球 100 多個受害者的電腦網路。
Zscaler 團隊在這次行動中觀察到的戰術、技術和程序(TTPs)(包括 DLL 側載)以及 DodgeBox 惡意軟體程式碼與 StealthVector 惡意軟體的相似性,導致威脅獵人有中等的信心將這些入侵事件歸因於 APT41。
在週三發表的一份技術分析報告中,ThreatLabz 研究人員 Yin Hong Chang 和 Sudeep Singh 寫道:「對 VirusTotal 中提供的遙測數據的分析顯示,DodgeBox 樣本已從泰國和台灣提交。」
他們補充說:「這一觀察結果與 APT41 之前主要針對東南亞 (SEA) 地區使用者行動中使用的 StealthVector 情況一致。」
今年 4 月,Zscaler 發現了 Dodgebox,並認為它與 APT41 的 StealthVector 非常相似。與 StealthVector 一樣,DodgeBox 是一個用 C 語言編寫的 shellcode 載入程式,可以配置各種功能——包括「解密和載入嵌入式 DLL、進行環境檢查和綁定,以及執行清理程式」。
然而,Chang 和 Singh 斷言,與 StealthVector 相比,DodgeBox「在其實現方面進行了重大改進」。DodgeBox 的一些功能包括加密——它使用 AES 密碼回饋 (AES-CFB) 模式來加密其配置。它還會執行一系列環境檢查,以確保它擊中了正確的目標並擁有正確的權限,以確保最大程度地存取受害者的系統。
此外,它還採取一系列步驟來逃避檢測,包括呼叫堆疊偽造,然後執行清理程式將自身從受害者的系統中移除。
Chang 和 Singh 寫道:「DodgeBox 與其他惡意軟體的不同之處在於其獨特的演算法和技術。」
據我們了解,作為設置過程的一部分,惡意軟體會解析多個 API。它還會執行環境檢查,以確保擊中了正確的目標。「值得注意的是,DodgeBox 對 DLL 和函數名稱採用了加鹽(Salting)的 FNV1a 雜湊值」,研究人員觀察到。
這兩個解釋說,這種加鹽雜湊值有助於它逃避靜態檢測,並且還允許不同的 DodgeBox 樣本對相同的 DLL 和函數使用不同的值。然後,惡意軟體會掃描 DLL 並檢查是否啟用了 Windows 控制流保護 (CFG)。這是一項安全功能,可防止 Windows 應用程式中的記憶體損壞漏洞——如果啟用了該功能,惡意軟體會嘗試禁用它。
最後,它會執行檢查以驗證其配置是否正確,以及是否以系統權限運行。如果不滿足這些條件,惡意軟體就會終止。
否則,假設在這些檢查之後它仍然可以運行,DodgeBox 就會進入最後階段並解密其有效載荷:MoonWalk 後門,它將其作為 DAT 檔案丟棄在受感染的機器上。
Zscaler 答應在其部落格文章的第二部分(在撰寫本文時尚未發佈)中提供有關 MoonWalk 後門實際啟用功能的更多詳細資訊。它在第一部分中透露的只是後門「共享了 DodgeBox 中實現的許多規避技術,並利用 Google Drive 進行命令和控制 (C2) 通訊」。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!