Deuterbear RAT
Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν παράσχει νέες πληροφορίες για το Deuterbear, έναν Trojan Remote Access (RAT) που χρησιμοποιείται από την ομάδα χάκερ BlackTech που συνδέεται με την Κίνα σε μια πρόσφατη εκστρατεία κατασκοπείας στον κυβερνοχώρο που στοχεύει την περιοχή Ασίας-Ειρηνικού.
Το Deuterbear RAT μοιάζει με ένα προηγουμένως επιβλαβές εργαλείο που χρησιμοποιούσε η ομάδα, γνωστό ως Waterbear. Ωστόσο, διαθέτει σημαντικές βελτιώσεις, όπως υποστήριξη για πρόσθετα shellcode, λειτουργία χωρίς χειραψίες και χρήση HTTPS για επικοινωνία εντολών και ελέγχου (C&C). Σε αντίθεση με το Waterbear, το Deuterbear χρησιμοποιεί μια μορφή shellcode, ενσωματώνει τεχνικές σάρωσης κατά της μνήμης και μοιράζεται ένα κλειδί κυκλοφορίας με το πρόγραμμα λήψης του.
Πίνακας περιεχομένων
Η BlackTech έχει ενημερώσει το οπλοστάσιο των απειλητικών εργαλείων της
Ενεργό τουλάχιστον από το 2007, η BlackTech είναι γνωστή στην κοινότητα της κυβερνοασφάλειας με διάφορα ονόματα, όπως Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn και Temp.Overboard.
Για σχεδόν 15 χρόνια, η ομάδα χρησιμοποιεί συχνά το κακόβουλο λογισμικό Waterbear (επίσης γνωστό ως DBGPRINT) στις επιθέσεις στον κυβερνοχώρο. Ωστόσο, από τον Οκτώβριο του 2022, οι καμπάνιες τους διαθέτουν μια ενημερωμένη έκδοση αυτού του κακόβουλου λογισμικού που ονομάζεται Deuterbear.
Η αλυσίδα μόλυνσης που χρησιμοποιείται από την BackTech για την παράδοση του κακόβουλου λογισμικού Waterbear
Το Waterbear παραδίδεται στις στοχευμένες συσκευές μέσω ενός επιδιορθωμένου νόμιμου εκτελέσιμου αρχείου, το οποίο χρησιμοποιεί πλευρική φόρτωση DLL για την εκκίνηση ενός φορτωτή. Αυτός ο φορτωτής στη συνέχεια αποκρυπτογραφεί και εκτελεί ένα πρόγραμμα λήψης, το οποίο έρχεται σε επαφή με έναν διακομιστή Command-and-Control (C&C) για να ανακτήσει τη μονάδα RAT.
Είναι ενδιαφέρον ότι η μονάδα RAT λαμβάνεται δύο φορές από την υποδομή που ελέγχεται από τους εισβολείς. Η πρώτη ανάκτηση φορτώνει μια προσθήκη Waterbear, η οποία θέτει σε κίνδυνο περαιτέρω το σύστημα εκκινώντας μια διαφορετική έκδοση του προγράμματος λήψης Waterbear για την ανάκτηση της μονάδας RAT από άλλο διακομιστή C&C.
Με άλλα λόγια, το αρχικό Waterbear RAT λειτουργεί ως πρόγραμμα λήψης πρόσθετων, ενώ το δεύτερο Waterbear RAT λειτουργεί ως backdoor, συλλέγοντας ευαίσθητες πληροφορίες από τον παραβιασμένο κεντρικό υπολογιστή χρησιμοποιώντας ένα σύνολο 60 εντολών.
Το Deuterbear RAT βασίζεται σε τροποποιημένες τακτικές μόλυνσης για να θέσει σε κίνδυνο τις συσκευές των θυμάτων
Η οδός μόλυνσης για το Deuterbear είναι πολύ παρόμοια με αυτή του Waterbear καθώς υλοποιεί επίσης δύο στάδια για την εγκατάσταση του στοιχείου κερκόπορτας RAT. Ωστόσο, το τροποποιεί επίσης σε κάποιο βαθμό.
Το πρώτο στάδιο, σε αυτήν την περίπτωση, χρησιμοποιεί το πρόγραμμα φόρτωσης για την εκκίνηση ενός προγράμματος λήψης, το οποίο συνδέεται με τον διακομιστή C&C για να ανακτήσει το Deuterbear RAT, έναν ενδιάμεσο που χρησιμεύει για τη δημιουργία εμμονής μέσω ενός φορτωτή δεύτερου σταδίου μέσω πλευρικής φόρτωσης DLL. Αυτός ο φορτωτής είναι τελικά υπεύθυνος για την εκτέλεση ενός προγράμματος λήψης, το οποίο και πάλι κατεβάζει το Deuterbear RAT από έναν διακομιστή C&C για κλοπή πληροφοριών.
Στα περισσότερα από τα μολυσμένα συστήματα, μόνο το δεύτερο στάδιο Deuterbear είναι διαθέσιμο. Όλα τα στοιχεία του πρώτου σταδίου Deuterbear αφαιρούνται πλήρως μετά την ολοκλήρωση της «εγκατάστασης εμμονής».
Το Deuterbear RAT μπορεί να εξελίσσεται χωριστά από τον προκάτοχό του
Αυτή η στρατηγική κρύβει αποτελεσματικά τα ίχνη των εισβολέων και δυσκολεύει τους ερευνητές απειλών να αναλύσουν το κακόβουλο λογισμικό Deuterbear, ειδικά σε προσομοιωμένα περιβάλλοντα, αντί για συστήματα πραγματικών θυμάτων.
Το Deuterbear RAT είναι μια πιο βελτιωμένη έκδοση του προκατόχου του, διατηρώντας μόνο ένα υποσύνολο εντολών και υιοθετώντας μια προσέγγιση που βασίζεται σε πρόσθετα για να επεκτείνει τη λειτουργικότητά του. Το Waterbear έχει υποστεί συνεχή εξέλιξη, οδηγώντας τελικά στην ανάπτυξη του Deuterbear. Είναι ενδιαφέρον ότι τόσο το Waterbear όσο και το Deuterbear συνεχίζουν να εξελίσσονται ανεξάρτητα, αντί το ένα απλώς να αντικαθιστά το άλλο.
