Deuterbear RAT
Изследователите на киберсигурността предоставиха нови прозрения за Deuterbear, троянски кон за отдалечен достъп (RAT), използван от свързаната с Китай хакерска група BlackTech в скорошна кампания за кибер шпионаж, насочена към Азиатско-тихоокеанския регион.
Плъхът Deuterbear прилича на вреден преди това инструмент, използван от групата, известен като Waterbear. Той обаче включва значителни подобрения, включително поддръжка на плъгини за shellcode, работа без ръкостискания и използване на HTTPS за командно-контролна (C&C) комуникация. За разлика от Waterbear, Deuterbear използва формат на shellcode, включва техники за сканиране срещу паметта и споделя ключ за трафик със своята програма за изтегляне.
Съдържание
BlackTech актуализира своя арсенал от заплашителни инструменти
Активен поне от 2007 г., BlackTech е известен в общността на киберсигурността под различни имена, включително Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard.
В продължение на близо 15 години групата често е използвала зловреден софтуер Waterbear (известен също като DBGPRINT) в своите кибератаки. От октомври 2022 г. обаче техните кампании включват актуализирана версия на този зловреден софтуер, наречен Deuterbear.
Веригата на заразяване, използвана от BackTech за доставка на злонамерения софтуер Waterbear
Waterbear се доставя до целевите устройства чрез коригиран легитимен изпълним файл, който използва странично зареждане на DLL за стартиране на товарач. След това това устройство за зареждане дешифрира и изпълнява средство за изтегляне, което се свързва със сървър за командване и управление (C&C), за да извлече RAT модула.
Интересното е, че RAT модулът се извлича два пъти от инфраструктурата, контролирана от нападателя. Първото извличане зарежда плъгин Waterbear, който допълнително компрометира системата чрез стартиране на различна версия на програмата за изтегляне на Waterbear, за да извлече RAT модула от друг C&C сървър.
С други думи, първоначалният Waterbear RAT действа като програма за изтегляне на плъгини, докато вторият Waterbear RAT функционира като задна врата, събирайки чувствителна информация от компрометирания хост, използвайки набор от 60 команди.
Deuterbear RAT разчита на модифицирани тактики за заразяване, за да компрометира устройствата на жертвите
Пътят на заразяване за Deuterbear е много подобен на този на Waterbear, тъй като той също така прилага два етапа за инсталиране на компонента за задната вратичка RAT. Все пак, той също го променя до известна степен.
Първият етап, в този случай, използва товарача, за да стартира програма за изтегляне, която се свързва с C&C сървъра, за да извлече Deuterbear RAT, посредник, който служи за установяване на устойчивост чрез товарач от втори етап чрез DLL странично зареждане. Този товарач е в крайна сметка отговорен за изпълнението на програма за изтегляне, която отново изтегля Deuterbear RAT от C&C сървър за кражба на информация.
В повечето от заразените системи е наличен само вторият етап Deuterbear. Всички компоненти на първия етап Deuterbear се премахват напълно след завършване на „инсталацията за постоянство“.
Deuterbear RAT може да се развива отделно от своя предшественик
Тази стратегия ефективно прикрива следите на нападателите и затруднява изследователите на заплахите да анализират зловреден софтуер Deuterbear, особено в симулирани среди, вместо в действителни системи жертви.
Deuterbear RAT е по-рационализирана версия на своя предшественик, като запазва само подмножество от команди и възприема подход, базиран на плъгини, за да разшири своята функционалност. Waterbear е претърпял непрекъсната еволюция, което в крайна сметка води до развитието на Deuterbear. Интересното е, че и Waterbear, и Deuterbear продължават да се развиват независимо, вместо едното просто да замества другото.
