Deuterbear RAT
Kyberturvallisuustutkijat ovat tarjonneet uusia näkemyksiä Deuterbearista, etäkäyttötroijalaisesta (RAT), jota Kiinaan liittyvä BlackTech- hakkerointiryhmä käyttää hiljattain Aasian ja Tyynenmeren alueelle suunnatussa kybervakoilukampanjassa.
Deuterbear RAT muistuttaa ryhmän aiemmin käyttämää haitallista työkalua, joka tunnetaan nimellä Waterbear. Siinä on kuitenkin merkittäviä parannuksia, mukaan lukien tuki shellcode-laajennuksille, toiminta ilman kättelyä ja HTTPS:n käyttö komento- ja ohjausviestintään (C&C). Toisin kuin Waterbear, Deuterbear käyttää shellcode-muotoa, sisältää muistia estäviä skannaustekniikoita ja jakaa liikenneavaimen latausohjelmansa kanssa.
Sisällysluettelo
BlackTech on päivittänyt uhkaavien työkalujen arsenaaliaan
Ainakin vuodesta 2007 lähtien aktiivinen BlackTech on tunnettu kyberturvallisuusyhteisössä useilla nimillä, kuten Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ja Temp.Overboard.
Lähes 15 vuoden ajan ryhmä on käyttänyt usein Waterbear-haittaohjelmaa (tunnetaan myös nimellä DBGPRINT) kyberhyökkäyksissään. Kuitenkin lokakuusta 2022 lähtien heidän kampanjoissaan on ollut päivitetty versio tästä haittaohjelmasta nimeltä Deuterbear.
Infektioketju, jota BackTech käyttää Waterbear-haittaohjelman toimittamiseen
Waterbear toimitetaan kohdistetuille laitteille korjatun laillisen suoritettavan tiedoston kautta, joka käyttää DLL-sivulatausta latauksen käynnistämiseen. Sitten tämä latausohjelma purkaa salauksen ja suorittaa latausohjelman, joka ottaa yhteyttä Command-and-Control (C&C) -palvelimeen noutaakseen RAT-moduulin.
Mielenkiintoista on, että RAT-moduuli haetaan kahdesti hyökkääjän ohjaamasta infrastruktuurista. Ensimmäinen nouto lataa Waterbear-laajennuksen, joka edelleen vaarantaa järjestelmän käynnistämällä eri version Waterbear-latausohjelmasta RAT-moduulin hakemiseksi toiselta C&C-palvelimelta.
Toisin sanoen alkuperäinen Waterbear RAT toimii laajennusten lataajana, kun taas toinen Waterbear RAT toimii takaovena, joka kerää arkaluontoisia tietoja vaarantuneelta isännältä käyttämällä 60 komennon sarjaa.
Deuterbear RAT luottaa modifioituihin tartuntataktiikoihin vaarantaakseen uhrien laitteet
Deuterbearin tartuntareitti on hyvin samanlainen kuin Waterbearin, koska se toteuttaa myös kaksi vaihetta RAT-takaovikomponentin asentamiseksi. Silti se myös säätelee sitä jossain määrin.
Tässä tapauksessa ensimmäinen vaihe käyttää lataajaa käynnistämään latausohjelman, joka muodostaa yhteyden C&C-palvelimeen noutaakseen Deuterbear RAT:n, välittäjän, joka varmistaa pysyvyyden toisen vaiheen latausohjelman kautta DLL-sivulatauksen kautta. Tämä latausohjelma on viime kädessä vastuussa latausohjelman suorittamisesta, joka taas lataa Deuterbear RAT:n C&C-palvelimelta tietojen varastamista varten.
Useimmissa tartunnan saaneissa järjestelmissä vain toisen vaiheen Deuterbear on saatavilla. Kaikki ensimmäisen vaiheen Deuterbearin komponentit poistetaan kokonaan, kun "pysyvä asennus" on valmis.
Deuterbear RAT saattaa kehittyä erillään edeltäjästään
Tämä strategia peittää tehokkaasti hyökkääjien jäljet ja vaikeuttaa uhkatutkijoiden kykyä analysoida Deuterbear-haittaohjelmaa varsinkin simuloiduissa ympäristöissä todellisten uhrijärjestelmien sijaan.
Deuterbear RAT on edeltäjänsä virtaviivaisempi versio, joka säilyttää vain osan komennoista ja käyttää laajennuspohjaista lähestymistapaa toimintojensa laajentamiseen. Waterbear on käynyt läpi jatkuvaa kehitystä, mikä on viime kädessä johtanut Deuterbearin kehitykseen. Mielenkiintoista on, että sekä Waterbear että Deuterbear kehittyvät edelleen itsenäisesti, sen sijaan että toinen vain korvaisi toisen.
