중국과 연계된 APT(지능형 지속 위협) 그룹인 APT41은 알려진 맬웨어인 StealthVector의 “고급 및 업그레이드된 버전”을 사용하여 MoonWalk라는 이름의 이전에 문서화되지 않은 백도어를 전달하는 것으로 의심됩니다.
DUSTPAN이라고도 불리는 StealthVector의 새로운 변종은 Zscaler ThreatLabz에서 DodgeBox라는 코드명으로 명명되었으며, 이들은 2024년 4월에 이 로더 변종을 발견했습니다.
“DodgeBox는 MoonWalk라는 새로운 백도어를 로드하는 로더입니다.” 보안 연구원 Yin Hong Chang과 Sudeep Singh이 말했습니다. “MoonWalk는 DodgeBox에 구현된 많은 회피 기술을 공유하고 명령 및 제어(C2) 통신을 위해 Google Drive를 활용합니다.”
APT41은 중국과 제휴한 다작한 국가 지원 위협 행위자에게 할당된 별칭으로, 적어도 2007년부터 활동한 것으로 알려져 있습니다. 또한 광범위한 사이버 보안 커뮤니티에서 Axiom, Blackfly, Brass Typhoon(이전 Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda, Winnti라는 이름으로 추적되고 있습니다.
2020년 9월, 미국 법무부(DoJ)는 전 세계 100개가 넘는 회사를 표적으로 삼아 침입 캠페인을 조직한 해킹 조직과 관련된 여러 위협 행위자에 대한 기소를 발표했습니다.
“침입으로 인해 소스 코드, 소프트웨어 코드 서명 인증서, 고객 계정 데이터 및 귀중한 비즈니스 정보가 도난당했습니다.” 당시 법무부는 “랜섬웨어 및 ‘암호화폐 탈취’ 계획을 포함한 다른 범죄 계획도 가능해졌습니다.”라고 덧붙였습니다.
지난 수년 동안 이 위협 집단은 2021년 5월부터 2022년 2월 사이의 미국 주정부 네트워크 침해와 관련이 있는 것으로 드러났으며, Google Command and Control(GC2)이라는 오픈소스 레드팀 도구를 사용하여 대만 미디어 기관을 표적으로 삼은 공격에도 연루되었습니다.
APT41의 StealthVector 사용은 Trend Micro에서 2021년 8월에 처음 기록했으며, Cobalt Strike Beacon과 ScrambleCross(일명 SideWalk)라는 셸코드 임플란트를 제공하는 데 사용되는 C/C++로 작성된 셸코드 로더로 설명되어 있습니다.
DodgeBox는 StealthVector의 개량된 버전으로 평가되고 있으며, 감지를 피하기 위해 호출 스택 스푸핑, DLL 사이드 로딩, DLL 홀로잉과 같은 다양한 기술을 통합하고 있습니다. 맬웨어가 배포되는 정확한 방법은 현재 알려지지 않았습니다.
연구원들은 “APT41은 DodgeBox를 실행하는 수단으로 DLL 사이드 로딩을 사용합니다.”라고 말했습니다. “그들은 Sandboxie가 서명한 합법적인 실행 파일(taskhost.exe)을 사용하여 악성 DLL(sbiedll.dll)을 사이드 로딩합니다.”
사기성 DLL(즉, DodgeBox)은 C로 작성된 DLL 로더로, 2단계 페이로드인 MoonWalk 백도어를 해독하고 실행하는 통로 역할을 합니다.
DodgeBox가 APT41에 속한다고 보는 것은 DodgeBox와 StealthVector가 유사하다는 점, 중국과 연계된 그룹이 PlugX와 같은 맬웨어를 전달하는 데 널리 사용하는 기술인 DLL 사이드 로딩을 사용한다는 점, DodgeBox 샘플이 태국과 대만에서 VirusTotal에 제출되었다는 사실 때문입니다.
연구원들은 “DodgeBox는 정적 및 동작 감지를 모두 회피하기 위해 여러 기술을 사용하는 새롭게 발견된 맬웨어 로더입니다.”라고 밝혔습니다.
“임베디드 DLL 복호화 및 로딩, 환경 검사 및 바인딩 수행, 정리 절차 실행을 포함한 다양한 기능을 제공합니다.”