Deuterbear RAT
Cybersikkerhedsforskere har givet ny indsigt i Deuterbear, en Remote Access Trojan (RAT) ansat af den Kina-tilknyttede BlackTech- hackinggruppe i en nylig cyberspionagekampagne rettet mod Asien-Stillehavsområdet.
Deuterbear RAT ligner et tidligere skadeligt værktøj brugt af gruppen, kendt som Waterbear. Det har dog betydelige forbedringer, herunder understøttelse af shellcode-plugins, betjening uden håndtryk og brugen af HTTPS til kommando-og-kontrol (C&C) kommunikation. I modsætning til Waterbear anvender Deuterbear et shellcode-format, inkorporerer anti-hukommelsesscanningsteknikker og deler en trafiknøgle med sin downloader.
Indholdsfortegnelse
BlackTech har opdateret sit arsenal af truende værktøjer
BlackTech, der har været aktiv siden mindst 2007, har været kendt i cybersikkerhedssamfundet under forskellige navne, herunder Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn og Temp.Overboard.
I næsten 15 år har gruppen ofte brugt Waterbear malware (også kendt som DBGPRINT) i deres cyberangreb. Siden oktober 2022 har deres kampagner dog vist en opdateret version af denne malware kaldet Deuterbear.
Infektionskæden, der bruges af BackTech til levering af Waterbear-malwaren
Waterbear leveres til de målrettede enheder via en patchet legitim eksekverbar, som bruger DLL side-loading til at starte en loader. Denne indlæser dekrypterer og udfører derefter en downloader, som kontakter en Command-and-Control-server (C&C) for at hente RAT-modulet.
Interessant nok hentes RAT-modulet to gange fra den hacker-kontrollerede infrastruktur. Den første hentning indlæser et Waterbear-plugin, som yderligere kompromitterer systemet ved at starte en anden version af Waterbear-downloaderen for at hente RAT-modulet fra en anden C&C-server.
Med andre ord fungerer den oprindelige Waterbear RAT som en plugin-downloader, mens den anden Waterbear RAT fungerer som en bagdør, der indsamler følsom information fra den kompromitterede vært ved hjælp af et sæt på 60 kommandoer.
Deuterbear RAT er afhængig af modificeret infektionstaktik for at kompromittere ofrenes enheder
Infektionsvejen for Deuterbear er meget lig den for Waterbear, idet den også implementerer to trin til at installere RAT-bagdørskomponenten. Alligevel justerer det også til en vis grad.
Det første trin, i dette tilfælde, anvender loaderen til at starte en downloader, som forbinder til C&C-serveren for at hente Deuterbear RAT, en mellemmand, der tjener til at etablere persistens gennem en anden-trins loader via DLL side-loading. Denne loader er i sidste ende ansvarlig for at udføre en downloader, som igen downloader Deuterbear RAT fra en C&C-server for informationstyveri.
I de fleste af de inficerede systemer er kun anden fase Deuterbear tilgængelig. Alle komponenter i den første fase af Deuterbear er fuldstændig fjernet efter 'vedholdenhedsinstallationen' er fuldført.
Deuterbear RAT kan udvikle sig separat fra sin forgænger
Denne strategi slører effektivt angribernes spor og gør det vanskeligt for trusselsforskere at analysere Deuterbear-malwaren, især i simulerede miljøer, i stedet for faktiske offersystemer.
Deuterbear RAT er en mere strømlinet version af sin forgænger, der kun bevarer et undersæt af kommandoer og anvender en plugin-baseret tilgang til at udvide dens funktionalitet. Waterbear har gennemgået en kontinuerlig udvikling, hvilket i sidste ende har ført til udviklingen af Deuterbear. Interessant nok fortsætter både Waterbear og Deuterbear med at udvikle sig uafhængigt, snarere end at den ene blot erstatter den anden.
