موش Deuterbear

محققان امنیت سایبری بینش جدیدی در مورد Deuterbear، یک تروجان دسترسی از راه دور (RAT) ارائه کرده اند که توسط گروه هکر BlackTech مرتبط با چین در یک کمپین جاسوسی سایبری اخیر که منطقه آسیا و اقیانوسیه را هدف قرار داده است، به کار گرفته شده است.

Deuterbear RAT شبیه ابزار مضری است که قبلاً توسط این گروه استفاده می شد و به نام Waterbear شناخته می شد. با این حال، دارای پیشرفت‌های قابل توجهی از جمله پشتیبانی از پلاگین‌های کد پوسته، عملکرد بدون دست دادن و استفاده از HTTPS برای ارتباطات فرمان و کنترل (C&C) است. برخلاف Waterbear، Deuterbear از فرمت پوسته‌کد استفاده می‌کند، تکنیک‌های اسکن ضد حافظه را در خود جای داده و یک کلید ترافیک را با دانلودکننده خود به اشتراک می‌گذارد.

BlackTech زرادخانه ابزارهای تهدیدآمیز خود را به روز می کند

BlackTech که حداقل از سال 2007 فعال است، در جامعه امنیت سایبری با نام‌های مختلفی از جمله Circuit Panda، Earth Hundun، HUAPI، Manga Taurus، Palmerworm، Red Djinn و Temp.Overboard شناخته شده است.

برای نزدیک به 15 سال، این گروه مکررا از بدافزار Waterbear (همچنین به عنوان DBGPRINT) در حملات سایبری خود استفاده کرده است. با این حال، از اکتبر 2022، کمپین های آنها نسخه به روز شده این بدافزار به نام Deuterbear را ارائه کرده اند.

زنجیره عفونت استفاده شده توسط BackTech برای تحویل بدافزار Waterbear

Waterbear از طریق یک فایل اجرایی قانونی وصله‌شده به دستگاه‌های هدف تحویل داده می‌شود که از بارگذاری جانبی DLL برای راه‌اندازی یک لودر استفاده می‌کند. سپس این لودر یک دانلود کننده را رمزگشایی و اجرا می کند که با یک سرور Command-and-Control (C&C) تماس می گیرد تا ماژول RAT را بازیابی کند.

جالب اینجاست که ماژول RAT دو بار از زیرساخت کنترل شده توسط مهاجم واکشی شده است. اولین واکشی یک افزونه Waterbear را بارگیری می‌کند، که با راه‌اندازی نسخه دیگری از دانلودر Waterbear برای بازیابی ماژول RAT از یک سرور C&C دیگر، سیستم را بیشتر به خطر می‌اندازد.

به عبارت دیگر، Waterbear RAT اولیه به عنوان دانلود کننده پلاگین عمل می کند، در حالی که RAT دوم Waterbear به عنوان یک درب پشتی عمل می کند و با استفاده از مجموعه ای از 60 دستور، اطلاعات حساس را از میزبان در معرض خطر جمع آوری می کند.

موش Deuterbear برای به خطر انداختن دستگاه های قربانیان به تاکتیک های عفونت اصلاح شده متکی است

مسیر عفونت برای Deuterbear بسیار شبیه به Waterbear است زیرا دو مرحله را برای نصب مولفه درب پشتی RAT اجرا می‌کند. با این حال، آن را نیز تا حدی بهینه سازی می کند.

مرحله اول، در این مورد، از لودر برای راه‌اندازی یک دانلودر استفاده می‌کند، که به سرور C&C متصل می‌شود تا Deuterbear RAT، واسطه‌ای که برای ایجاد پایداری از طریق یک بارکننده مرحله دوم از طریق بارگذاری جانبی DLL به کار می‌رود. این لودر در نهایت مسئول اجرای یک دانلودر است که دوباره Deuterbear RAT را از سرور C&C برای سرقت اطلاعات دانلود می کند.

در بیشتر سیستم های آلوده، فقط مرحله دوم Deuterbear موجود است. تمام اجزای مرحله اول Deuterbear پس از تکمیل "نصب پایدار" به طور کامل حذف می شوند.

موش Deuterbear ممکن است جدا از نسل قبلی خود در حال تکامل باشد

این استراتژی به طور موثر مسیر مهاجمان را پنهان می کند و تحلیل بدافزار Deuterbear را به ویژه در محیط های شبیه سازی شده به جای سیستم های قربانی واقعی برای محققان تهدید دشوار می کند.

Deuterbear RAT یک نسخه ساده تر از سلف خود است که تنها زیر مجموعه ای از دستورات را حفظ می کند و یک رویکرد مبتنی بر پلاگین را برای گسترش عملکرد خود اتخاذ می کند. Waterbear دستخوش تکامل مداوم بوده است که در نهایت منجر به توسعه Deuterbear شده است. جالب توجه است، هر دو Waterbear و Deuterbear به طور مستقل به تکامل خود ادامه می دهند، نه اینکه یکی صرفاً جایگزین دیگری شود.