Deuterbear RAT
Els investigadors de ciberseguretat han proporcionat nous coneixements sobre Deuterbear, un troià d'accés remot (RAT) emprat pel grup de pirateria BlackTech vinculat a la Xina en una campanya recent d'espionatge cibernètic dirigida a la regió Àsia-Pacífic.
El Deuterbear RAT s'assembla a una eina anteriorment nociva utilitzada pel grup, coneguda com Waterbear. Tanmateix, inclou millores significatives, com ara suport per a connectors de codi shell, funcionament sense encaixades de mans i l'ús d'HTTPS per a la comunicació d'ordres i control (C&C). A diferència de Waterbear, Deuterbear utilitza un format de codi shell, incorpora tècniques d'escaneig anti-memòria i comparteix una clau de trànsit amb el seu descarregador.
Taula de continguts
BlackTech ha estat actualitzant el seu arsenal d'eines amenaçadores
Actiu des del 2007, BlackTech és conegut a la comunitat de ciberseguretat amb diversos noms, com ara Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn i Temp.Overboard.
Durant gairebé 15 anys, el grup ha utilitzat freqüentment el programari maliciós Waterbear (també conegut com DBGPRINT) en els seus ciberatacs. Tanmateix, des de l'octubre de 2022, les seves campanyes inclouen una versió actualitzada d'aquest programari maliciós anomenada Deuterbear.
La cadena d'infecció utilitzada per BackTech per al lliurament del programari maliciós Waterbear
Waterbear es lliura als dispositius de destinació mitjançant un executable legítim pegat, que utilitza la càrrega lateral de DLL per llançar un carregador. A continuació, aquest carregador desxifra i executa un descarregador, que es posa en contacte amb un servidor d'ordres i control (C&C) per recuperar el mòdul RAT.
Curiosament, el mòdul RAT s'obté dues vegades de la infraestructura controlada per l'atacant. La primera recuperació carrega un connector Waterbear, que compromet encara més el sistema en llançar una versió diferent del descarregador Waterbear per recuperar el mòdul RAT d'un altre servidor C&C.
En altres paraules, el Waterbear RAT inicial actua com a descàrrega de connectors, mentre que el segon Waterbear RAT funciona com a porta posterior, recopilant informació sensible de l'amfitrió compromès mitjançant un conjunt de 60 ordres.
El Deuterbear RAT es basa en tàctiques d'infecció modificades per comprometre els dispositius de les víctimes
La via d'infecció de Deuterbear és molt similar a la de Waterbear, ja que també implementa dues etapes per instal·lar el component de la porta posterior RAT. Tot i així, també ho modifica fins a cert punt.
La primera etapa, en aquest cas, utilitza el carregador per llançar un descarregador, que es connecta al servidor C&C per obtenir Deuterbear RAT, un intermediari que serveix per establir la persistència mitjançant un carregador de segona etapa mitjançant la càrrega lateral de DLL. Aquest carregador és l'últim responsable d'executar un descarregador, que torna a descarregar el Deuterbear RAT des d'un servidor C&C per robar informació.
En la majoria dels sistemes infectats, només està disponible la segona etapa Deuterbear. Tots els components de la primera etapa Deuterbear s'eliminen totalment un cop finalitzada la "instal·lació de persistència".
El Deuterbear RAT pot estar evolucionant per separat del seu predecessor
Aquesta estratègia oculta efectivament les pistes dels atacants i dificulta que els investigadors d'amenaces analitzin el programari maliciós Deuterbear, especialment en entorns simulats, en lloc dels sistemes de víctimes reals.
El Deuterbear RAT és una versió més simplificada del seu predecessor, conservant només un subconjunt d'ordres i adoptant un enfocament basat en complements per ampliar la seva funcionalitat. Waterbear ha experimentat una evolució contínua, que finalment ha conduït al desenvolupament de Deuterbear. Curiosament, tant Waterbear com Deuterbear continuen evolucionant de manera independent, en lloc de substituir l'un l'altre.
