ديوتربير رات

قدم باحثو الأمن السيبراني رؤى جديدة حول Deuterbear، وهو حصان طروادة للوصول عن بعد (RAT) الذي تستخدمه مجموعة القرصنة BlackTech المرتبطة بالصين في حملة تجسس إلكترونية حديثة تستهدف منطقة آسيا والمحيط الهادئ.

يشبه Deuterbear RAT أداة ضارة سابقًا تستخدمها المجموعة، والمعروفة باسم Waterbear. ومع ذلك، فهو يتميز بتحسينات كبيرة، بما في ذلك دعم المكونات الإضافية لرمز القشرة، والتشغيل بدون المصافحة، واستخدام HTTPS لاتصالات الأوامر والتحكم (C&C). على عكس Waterbear، يستخدم Deuterbear تنسيق كود القشرة، ويتضمن تقنيات مسح مضادة للذاكرة، ويشارك مفتاح المرور مع أداة التنزيل الخاصة به.

قامت شركة BlackTech بتحديث ترسانتها من أدوات التهديد

نشطت BlackTech منذ عام 2007 على الأقل، وهي معروفة في مجتمع الأمن السيبراني بأسماء مختلفة، بما في ذلك Circuit Panda وEarth Hundun وHUAPI وManga Taurus وPalmerworm وRed Djinn وTemp.Overboard.

منذ ما يقرب من 15 عامًا، استخدمت المجموعة بشكل متكرر البرنامج الضار Waterbear (المعروف أيضًا باسم DBGPRINT) في هجماتها الإلكترونية. ومع ذلك، منذ أكتوبر 2022، تضمنت حملاتهم نسخة محدثة من هذه البرامج الضارة تسمى Deuterbear.

سلسلة العدوى التي تستخدمها شركة BackTech لتوصيل البرامج الضارة Waterbear

يتم تسليم Waterbear إلى الأجهزة المستهدفة عبر ملف قابل للتنفيذ شرعي ومصحح، والذي يستخدم التحميل الجانبي لـ DLL لتشغيل أداة التحميل. يقوم هذا المُحمل بعد ذلك بفك تشفير برنامج التنزيل وتنفيذه، والذي يتصل بخادم القيادة والتحكم (C&C) لاسترداد وحدة RAT.

ومن المثير للاهتمام أنه يتم جلب وحدة RAT مرتين من البنية التحتية التي يتحكم فيها المهاجم. تقوم عملية الجلب الأولى بتحميل مكون إضافي Waterbear، مما يؤدي إلى إضعاف النظام بشكل أكبر من خلال تشغيل إصدار مختلف من أداة تنزيل Waterbear لاسترداد وحدة RAT من خادم C&C آخر.

بمعنى آخر، يعمل Waterbear RAT الأولي بمثابة أداة تنزيل المكونات الإضافية، بينما يعمل Waterbear RAT الثاني كباب خلفي، حيث يجمع المعلومات الحساسة من المضيف المخترق باستخدام مجموعة من 60 أمرًا.

يعتمد Deuterbear RAT على تكتيكات العدوى المعدلة لاختراق أجهزة الضحايا

يشبه مسار العدوى لـ Deuterbear إلى حد كبير مسار Waterbear من حيث أنه ينفذ أيضًا مرحلتين لتثبيت مكون الباب الخلفي RAT. ومع ذلك، فإنه يقوم أيضًا بتعديله إلى حد ما.

تستخدم المرحلة الأولى، في هذه الحالة، المُحمل لتشغيل أداة التنزيل، التي تتصل بخادم القيادة والسيطرة لجلب Deuterbear RAT، وهو وسيط يعمل على إنشاء الثبات من خلال مُحمل المرحلة الثانية عبر التحميل الجانبي لـ DLL. هذا المُحمل هو المسؤول في النهاية عن تنفيذ برنامج التنزيل، والذي يقوم مرة أخرى بتنزيل Deuterbear RAT من خادم C&C لسرقة المعلومات.

في معظم الأنظمة المصابة، تتوفر فقط المرحلة الثانية من Deuterbear. تتم إزالة جميع مكونات المرحلة الأولى من Deuterbear بالكامل بعد اكتمال "تثبيت الثبات".

قد يتطور Deuterbear RAT بشكل منفصل عن سابقه

تعمل هذه الإستراتيجية على حجب مسارات المهاجمين بشكل فعال وتجعل من الصعب على الباحثين في مجال التهديدات تحليل البرمجيات الخبيثة Deuterbear، خاصة في البيئات المحاكاة، بدلاً من أنظمة الضحية الفعلية.

يعد Deuterbear RAT إصدارًا أكثر انسيابية من سابقه، حيث يحتفظ فقط بمجموعة فرعية من الأوامر ويعتمد نهجًا قائمًا على المكونات الإضافية لتوسيع وظائفه. لقد مر Waterbear بتطور مستمر، مما أدى في النهاية إلى تطوير Deuterbear. ومن المثير للاهتمام أن كلا من Waterbear وDeuterbear يستمران في التطور بشكل مستقل، بدلاً من مجرد استبدال أحدهما بالآخر.