Deuterbear RAT
Výzkumníci v oblasti kybernetické bezpečnosti poskytli nový pohled na Deuterbear, trojan pro vzdálený přístup (RAT), který používá hackerská skupina BlackTech napojená na Čínu v nedávné kyberšpionážní kampani zaměřené na asijsko-pacifický region.
Deuterbear RAT připomíná dříve škodlivý nástroj používaný skupinou, známý jako Waterbear. Vyznačuje se však významnými vylepšeními, včetně podpory zásuvných modulů shellcode, provozu bez handshake a použití HTTPS pro komunikaci příkazů a řízení (C&C). Na rozdíl od Waterbear používá Deuterbear formát shell kódu, zahrnuje techniky skenování paměti a sdílí klíč provozu se svým downloaderem.
Obsah
BlackTech aktualizuje svůj arzenál hrozivých nástrojů
BlackTech, aktivní minimálně od roku 2007, je v komunitě kybernetické bezpečnosti znám pod různými jmény, včetně Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn a Temp.Overboard.
Již téměř 15 let skupina často používá malware Waterbear (také známý jako DBGPRINT) při svých kyberútocích. Od října 2022 však jejich kampaně obsahují aktualizovanou verzi tohoto malwaru s názvem Deuterbear.
Infekční řetězec využívaný společností BackTech k doručování malwaru Waterbear
Waterbear je doručován do cílových zařízení prostřednictvím opraveného legitimního spustitelného souboru, který ke spuštění zavaděče využívá boční načítání DLL. Tento zavaděč pak dešifruje a spustí stahovací program, který kontaktuje server Command-and-Control (C&C) za účelem získání modulu RAT.
Zajímavé je, že modul RAT je načten dvakrát z infrastruktury řízené útočníkem. První načtení načte zásuvný modul Waterbear, který dále ohrozí systém spuštěním jiné verze stahovacího programu Waterbear pro načtení modulu RAT z jiného serveru C&C.
Jinými slovy, první Waterbear RAT funguje jako plugin downloader, zatímco druhý Waterbear RAT funguje jako zadní vrátka, shromažďující citlivé informace od kompromitovaného hostitele pomocí sady 60 příkazů.
Deuterbear RAT spoléhá na upravenou taktiku infekce, aby kompromitovala zařízení obětí
Cesta infekce pro Deuterbear je velmi podobná cestě Waterbear v tom, že také implementuje dvě fáze instalace komponenty RAT backdoor. Přesto to také do určité míry vylepšuje.
První fáze v tomto případě využívá zavaděč ke spuštění stahovacího programu, který se připojí k serveru C&C za účelem načtení Deuterbear RAT, prostředníka, který slouží k navázání perzistence prostřednictvím zavaděče druhé fáze prostřednictvím bočního načítání DLL. Tento zavaděč je v konečném důsledku zodpovědný za spuštění stahovacího programu, který opět stáhne Deuterbear RAT ze serveru C&C za účelem krádeže informací.
Ve většině infikovaných systémů je k dispozici pouze druhý stupeň Deuterbear. Všechny součásti prvního stupně Deuterbear jsou po dokončení „perzistentní instalace“ zcela odstraněny.
Deuterbear RAT se může vyvíjet odděleně od svého předchůdce
Tato strategie účinně zakrývá stopy útočníků a ztěžuje výzkumníkům hrozeb analyzovat malware Deuterbear, zejména v simulovaných prostředích, namísto skutečných systémů obětí.
Deuterbear RAT je efektivnější verze svého předchůdce, zachovává si pouze podmnožinu příkazů a využívá přístup založený na zásuvných modulech pro rozšíření své funkčnosti. Waterbear prošel neustálým vývojem, který nakonec vedl k vývoji Deuterbear. Je zajímavé, že jak Waterbear, tak Deuterbear se nadále vyvíjejí nezávisle, spíše než jeden pouze nahrazovat druhý.
