Deuterbear RAT
חוקרי אבטחת סייבר סיפקו תובנות חדשות על Deuterbear, טרויאני גישה מרחוק (RAT) המועסק על ידי קבוצת הפריצה BlackTech הקשורה לסין בקמפיין ריגול סייבר שנערך לאחרונה על אזור אסיה-פסיפיק.
ה-Deuterbear RAT דומה לכלי שהיה מזיק בעבר ששימש את הקבוצה, המכונה Waterbear. עם זאת, הוא כולל שיפורים משמעותיים, כולל תמיכה בתוספים של קוד מעטפת, פעולה ללא לחיצות ידיים ושימוש ב-HTTPS לתקשורת פקודה ושליטה (C&C). בניגוד ל-Waterbear, Deuterbear משתמש בפורמט shellcode, משלב טכניקות סריקה נגד זיכרון ומשתף מפתח תעבורה עם ההורדה שלו.
תוכן העניינים
BlackTech עדכנה את ארסנל הכלים המאיימים שלה
BlackTech, פעילה לפחות משנת 2007, ידועה בקהילת אבטחת הסייבר בשמות שונים, כולל Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ו-Temp.Overboard.
במשך כמעט 15 שנים, הקבוצה השתמשה לעתים קרובות בתוכנה זדונית Waterbear (הידועה גם בשם DBGPRINT) בהתקפות הסייבר שלה. עם זאת, מאז אוקטובר 2022, מסעות הפרסום שלהם הציגו גרסה מעודכנת של תוכנה זדונית זו בשם Deuterbear.
שרשרת ההדבקה בשימוש על ידי BackTech עבור אספקת התוכנה הזדונית של Waterbear
Waterbear נמסר למכשירים הממוקדים באמצעות קובץ הפעלה לגיטימי מתוקן, המשתמש בטעינת DLL בצד כדי להפעיל טוען. מטעין זה מפענח ומפעיל הורדה, אשר יוצר קשר עם שרת Command-and-Control (C&C) כדי לאחזר את מודול RAT.
מעניין לציין שמודול RAT נלקח פעמיים מהתשתית הנשלטת על ידי התוקף. השליפה הראשונה טוענת תוסף Waterbear, מה שמסכן עוד יותר את המערכת על ידי השקת גרסה אחרת של הורדת Waterbear כדי לאחזר את מודול RAT משרת C&C אחר.
במילים אחרות, ה-Waterbear RAT הראשוני פועל כמוריד תוספים, בעוד ה-Waterbear RAT השני מתפקד כדלת אחורית, אוסף מידע רגיש מהמארח שנפגע באמצעות קבוצה של 60 פקודות.
ה-Deuterbear RAT מסתמך על טקטיקות זיהום מתוקנות כדי להתפשר על מכשירי הקורבנות
מסלול ההדבקה של Deuterbear דומה מאוד לזה של Waterbear בכך שהוא מיישם גם שני שלבים להתקנת רכיב הדלת האחורית RAT. ובכל זאת, זה גם מתקן את זה במידה מסוימת.
השלב הראשון, במקרה זה, מעסיק את הטוען כדי להפעיל הורדה, שמתחבר לשרת C&C כדי להביא את Deuterbear RAT, מתווך המשמש לבסס התמדה באמצעות טוען שלב שני באמצעות טעינת DLL בצד. מטעין זה אחראי בסופו של דבר לביצוע הורדה, אשר מוריד שוב את Deuterbear RAT משרת C&C לצורך גניבת מידע.
ברוב המערכות הנגועות, רק השלב השני של Deuterbear זמין. כל הרכיבים של Deuterbear השלב הראשון מוסרים לחלוטין לאחר השלמת 'התקנת ההתמדה'.
ייתכן שה-Deuterbear RAT מתפתח בנפרד מקודמו
אסטרטגיה זו למעשה מסתירה את עקבות התוקפים ומקשה על חוקרי איומים לנתח את התוכנה הזדונית של Deuterbear, במיוחד בסביבות מדומה, במקום מערכות קורבנות בפועל.
ה-Deuterbear RAT הוא גרסה יעילה יותר של קודמתה, השומרת רק על תת-קבוצה של פקודות ומאמצת גישה מבוססת תוספים להרחבת הפונקציונליות שלו. Waterbear עבר אבולוציה מתמשכת, מה שהוביל בסופו של דבר לפיתוח של Deuterbear. מעניין, גם Waterbear וגם Deuterbear ממשיכים להתפתח באופן עצמאי, ולא רק אחד מחליף את השני.
