Deuterbear RAT
Küberjulgeolekuteadlased on andnud uusi teadmisi Deuterbeari, kaugjuurdepääsu troojalase (RAT) kohta, mida kasutab Hiinaga seotud BlackTechi häkkimisrühm hiljutises Aasia ja Vaikse ookeani piirkonnale suunatud küberspionaažikampaanias.
Deuterbear RAT meenutab varem kahjulikku tööriista, mida rühmitus kasutas ja mida tuntakse veekaru nime all. Sellel on aga olulisi täiustusi, sealhulgas shellikoodi pistikprogrammide tugi, käepigistusteta toimimine ja HTTPS-i kasutamine käsu- ja juhtimise (C&C) suhtluseks. Erinevalt Waterbearist kasutab Deuterbear shellkoodi vormingut, sisaldab mäluvastaseid skannimistehnikaid ja jagab oma allalaadijaga liiklusvõtit.
Sisukord
BlackTech on uuendanud oma ähvardavate tööriistade arsenali
Vähemalt 2007. aastast aktiivne BlackTech on küberturvalisuse kogukonnas tuntud erinevate nimede all, sealhulgas Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ja Temp.Overboard.
Peaaegu 15 aastat on rühmitus oma küberrünnakutes sageli kasutanud Waterbeari pahavara (tuntud ka kui DBGPRINT). Alates 2022. aasta oktoobrist on nende kampaaniates olnud aga selle pahavara uuendatud versioon nimega Deuterbear.
Nakkusahel, mida BackTech kasutab Waterbeari pahavara kohaletoimetamiseks
Waterbear tarnitakse sihitud seadmetesse paigatud seadusliku käivitatava faili kaudu, mis kasutab laadija käivitamiseks DLL-i külglaadimist. See laadija dekrüpteerib ja käivitab allalaadija, mis võtab RAT-mooduli toomiseks ühendust käsu- ja juhtimisserveriga.
Huvitaval kombel tuuakse RAT-moodul kaks korda ründaja juhitavast infrastruktuurist. Esimene toomine laadib Waterbeari pistikprogrammi, mis kahjustab süsteemi veelgi, käivitades Waterbeari allalaadija erineva versiooni, et hankida RAT-moodul teisest C&C serverist.
Teisisõnu, esialgne Waterbear RAT toimib pistikprogrammide allalaadijana, teine Waterbear RAT aga tagauksena, kogudes 60 käsu abil tundlikku teavet ohustatud hostilt.
Deuterbear RAT tugineb ohvrite seadmete ohustamiseks modifitseeritud nakkustaktikale
Deuterbeari nakkustee on väga sarnane Waterbeari omaga, kuna see rakendab RAT-i tagaukse komponendi installimiseks ka kahte etappi. Siiski muudab see seda mingil määral.
Esimene etapp kasutab antud juhul laadijat, et käivitada allalaadija, mis loob ühenduse C&C serveriga, et tuua Deuterbear RAT, vahendaja, mis tagab püsivuse teise etapi laadija kaudu DLL-i külglaadimise kaudu. See laadija vastutab lõppkokkuvõttes allalaadija käivitamise eest, mis taas laadib teabevarguse jaoks alla Deuterbear RAT-i C&C serverist.
Enamikus nakatunud süsteemides on saadaval ainult teine etapp Deuterbear. Kõik Deuterbeari esimese etapi komponendid eemaldatakse pärast püsiva paigalduse lõpetamist täielikult.
Deuterbear RAT võib areneda oma eelkäijast eraldi
See strateegia varjab tõhusalt ründajate jälgi ja muudab ohuuurijate jaoks keeruliseks Deuterbeari pahavara analüüsimise, eriti simuleeritud keskkondades, mitte tegelike ohvrisüsteemide asemel.
Deuterbear RAT on oma eelkäija sujuvam versioon, mis säilitab ainult käskude alamhulga ja kasutab oma funktsionaalsuse laiendamiseks pistikprogrammipõhist lähenemisviisi. Waterbear on läbinud pideva evolutsiooni, mis lõpuks on viinud Deuterbeari väljatöötamiseni. Huvitav on see, et nii Waterbear kui ka Deuterbear arenevad edasi iseseisvalt, selle asemel, et üks lihtsalt teist asendada.
