# MoonWalk > Tipo: **backdoor modular avancado** · Utilizado por [[g0096-apt41|APT41]] · Descoberto em 2024 pela Zscaler ThreatLabz ## Visão Geral [[moonwalk|MoonWalk]] e um backdoor modular sofisticado desenvolvido pelo [[g0096-apt41|APT41]] (Wicked Panda, Brass Typhoon, Earth Baku), descoberto em abril de 2024 pelos pesquisadores da Zscaler ThreatLabz. O malware e carregado pelo loader [[s1158-dustpan|DodgeBox]] (variante avancada do StealthVector/DUSTPAN) e representa uma evolução significativa no arsenal do APT41, incorporando técnicas de evasão nao comumente observadas na prática. A caracteristica mais distintiva do MoonWalk e o uso de **Windows Fibers** - uma funcionalidade de execução de threads cooperativas pouco utilizada e raramente monitorada por soluções EDR e antivirus. Ao executar funcionalidades criticas como fibers em vez de threads, o MoonWalk contorna muitas soluções de segurança que nao suportam varredura de fibers, alem de dificultar análise por fragmentar o fluxo de controle do malware. Outro diferencial tecnico e o uso do **Google Drive como infraestrutura de C2**, comúnicando via protocolo customizado e criptografado sobre TLS. Ao usar o Google Drive como canal de comunicação, o trafego malicioso se mescla com trafego legitimo de negocio, tornando detecção baseada em reputacao de dominio ineficaz. O MoonWalk usa OAuth secrets armazenados em sua configuração para autenticar com conta Google Drive controlada pelo atacante. MoonWalk compartilha base de código e kit de desenvolvimento com o loader DodgeBox, reutilizando funções de DLL hollowing, resolução de imports via hashes FNV1a com salt, DLL unhooking e call stack spoofing. Essa base compartilhada sugere um framework de desenvolvimento interno robusto no APT41. **Plataformas:** Windows ## Como Funciona O ciclo operacional do MoonWalk e projetado para maxima evasão e persistência silenciosa: 1. **Entrega via DodgeBox** - O loader DodgeBox (executado via DLL sideloading com `taskhost.exe` assinado pela Sandboxie para carregar `sbiedll.dll` malicioso) descriptografa e carrega o MoonWalk em memoria via carga refletiva (`T1620`) 2. **Descarregamento do loader** - Após inicializacao, MoonWalk opcionalmente descarrega o DodgeBox da memoria e remove-o do Process Environment Block (PEB) para reduzir footprint e ocultar suas origens 3. **Inicializacao de Fibers** - O MoonWalk inicializa estruturas globais de Windows Fibers; funcionalidades criticas sao executadas como fibers ao inves de threads - contornando monitoramento de segurança e fragmentando fluxo de controle para dificultar análise 4. **Handshake criptografico** - Protocolo de troca de chaves ECDH; chave pública e IV AES sao XOR-encoded e enviados ao Google Drive no path `/data/temp/[SessionID]`; servidor responde com chave de sessao para comunicação AES criptografada 5. **Coleta de informações do ambiente** - Arquitetura do processador, tipo e versao do Windows, nome do computador e usuario, enderecos IP, status de impersonacao; dados comprimidos com LZ4 e enviados ao Google Drive 6. **Execução de comandos** - Comandos incluem: coletar informações do ambiente, roubo de token (impersonacao), criação de token (login com credenciais fornecidas), download de nova configuração, execução de comandos CLI (`T1059.003`) 7. **Heartbeat periodico** - MoonWalk envia timestamps Unix periodicos para arquivo temp.txt no Google Drive para sinalizacao de liveness ao operador ```mermaid graph TB A["DLL Sideloading<br/>taskhost.exe carrega sbiedll.dll"] --> B["DodgeBox loader<br/>Descriptografia AES-CFB"] B --> C["MoonWalk carregado<br/>reflexivamente em memoria"] C --> D["Descarrega DodgeBox<br/>Remove do PEB - oculta origem"] D --> E["Windows Fibers init<br/>Evasão EDR por fragmentacao"] E --> F["ECDH Handshake<br/>via Google Drive"] F --> G["Coleta ambiente<br/>CPU, OS, IP, usuario"] G --> H["Heartbeat + Comandos<br/>via Google Drive AES-criptografado"] H --> I["Token impersonacao<br/>Execução de comandos CLI"] ``` ## Timeline ```mermaid timeline title MoonWalk - Descoberta e Análise 2021 : StealthVector identificado pelo Trend Micro como precursor do DodgeBox 2024-04 : Zscaler ThreatLabz descobre DodgeBox como nova variante de StealthVector 2024-07 : Zscaler publica análise detalhada de MoonWalk (Part 2 DodgeBox) : Confirmado uso de Windows Fibers e Google Drive C2 : APT41 vinculado com alta confianca 2024-07 : AhnLab ASEC documenta DodgeBox e MoonWalk como ameaças ativas : Campanha confirmada contra alvos no Sudeste Asiatico 2024 : MITRE ATT&CK adiciona entry em consideracao para MoonWalk : Alvos confirmados: logistica, tecnologia, automotivo Asia e Europa ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | AES-CFB para strings, configuracoes e payloads | | Evasão | [[t1027-007-dynamic-api-resolution\|T1027.007]] | FNV1a hashes com salt para resolução de APIs | | Evasão | [[t1620-reflective-code-loading\|T1620]] | DLL hollowing para carga refletiva de plugins | | Evasão | [[t1106-native-api\|T1106]] | Windows Native APIs diretas (NtCreateFile, LdrLoadDll) | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Call stack spoofing ao chamar APIs monitoradas; scan e restauracao de hooks | | Execução | [[t1574-002-dll-side-loading\|T1574.002]] | taskhost.exe sideload de sbiedll.dll | | Acesso credencial | [[t1134-001-token-impersonation\|T1134.001]] | Roubo e impersonacao de token de processo | | C2 | [[t1102-002-bidirectional-communication\|T1102.002]] | Google Drive como canal C2 bidirecional | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Arquitetura, versao OS, nome, build | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Enderecos IPv4 e IPv6 do host | ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem presenca global confirmada com campanhas documentadas em todos os continentes. Para o Brasil: - **Setor automotivo e logistica**: A campanha APT41 DUST de 2024 comprometeu específicamente empresas de logistica e automotivo na Europa e Asia - setores com subsidiarias e parceiros no Brasil (Volkswagen, Toyota, FCA, operadoras logisticas) - **Tecnologia e telecomúnicacoes**: Historico de comprometimento de empresas de tecnologia de alto valor; empresas brasileiras de TI com contratos governamentais sao alvos de interesse - **Supply chain governamental**: O APT41 e especialista em comprometer a cadeia de fornecimento para atingir alvos governamentais finais - **Google Drive como C2**: O uso de Google Drive como infraestrutura C2 torna o trafego malicioso indistinguivel do trafego corporativo normal - organizacoes brasileiras que dependem de Google Workspace sao especialmente vulneraveis a essa técnica de evasão ## Detecção - **DLL sideloading**: Monitorar `taskhost.exe` e outros executaveis legitimos carregando DLLs de caminhos nao-padrao (`T1574.002`) - **Google Drive anomalo**: Detectar requisicoes HTTP para `drive.google.com` com padroes incomuns (paths `/data/temp/`, intervalos de heartbeat regulares) originadas de processos nao-esperados - **Windows Fibers**: Solucoes EDR avancadas com suporte a monitoramento de fibers devem ser configuradas para alertar sobre uso incomum de `CreateFiber`/`SwitchToFiber` por processos suspeitos - **Call stack**: Solucoes com análise de call stack devem detectar padroes de stack spoofing (retornos para gadgets ROP em vez de código esperado) - **Memoria**: Detectar DLL hollowing via comparacao de conteudo de módulo em memoria com arquivo em disco ## Referências - [Zscaler ThreatLabz - MoonWalk Deep Dive Part 2 (2024)](https://www.zscaler.com/blogs/security-research/moonwalk-deep-dive-updated-arsenal-apt41-part-2) - [Zscaler ThreatLabz - DodgeBox Deep Dive Part 1 (2024)](https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1) - [The Hacker News - APT41 Upgrades Arsenal DodgeBox MoonWalk (2024)](https://thehackernews.com/2024/07/chinese-apt41-upgrades-malware-arsenal.html) - [AhnLab ASEC - Threat Trend APT Groups July 2024](https://asec.ahnlab.com/en/82971/)