ड्यूटरबियर चूहा

साइबर सुरक्षा शोधकर्ताओं ने ड्यूटरबियर के बारे में नई जानकारी प्रदान की है, जो एक रिमोट एक्सेस ट्रोजन (आरएटी) है, जिसका उपयोग चीन से जुड़े ब्लैकटेक हैकिंग समूह द्वारा एशिया-प्रशांत क्षेत्र को लक्षित करके हाल ही में किए गए साइबर जासूसी अभियान में किया गया था।

ड्यूटरबियर RAT, वाटरबियर नामक समूह द्वारा इस्तेमाल किए जाने वाले पहले के हानिकारक उपकरण जैसा दिखता है। हालाँकि, इसमें शेलकोड प्लगइन्स के लिए समर्थन, हैंडशेक के बिना संचालन और कमांड-एंड-कंट्रोल (C&C) संचार के लिए HTTPS के उपयोग सहित महत्वपूर्ण संवर्द्धन शामिल हैं। वाटरबियर के विपरीत, ड्यूटरबियर एक शेलकोड प्रारूप का उपयोग करता है, एंटी-मेमोरी स्कैनिंग तकनीकों को शामिल करता है, और अपने डाउनलोडर के साथ ट्रैफ़िक कुंजी साझा करता है।

ब्लैकटेक अपने खतरनाक उपकरणों के भंडार को अद्यतन कर रहा है

कम से कम 2007 से सक्रिय, ब्लैकटेक को साइबर सुरक्षा समुदाय में विभिन्न नामों से जाना जाता है, जिनमें सर्किट पांडा, अर्थ हंडुन, एचयूएपीआई, मंगा टॉरस, पामरवॉर्म, रेड जिन्न और टेम्प.ओवरबोर्ड शामिल हैं।

लगभग 15 वर्षों से, समूह ने अपने साइबर हमलों में अक्सर वॉटरबियर मैलवेयर (जिसे DBGPRINT के नाम से भी जाना जाता है) का उपयोग किया है। हालाँकि, अक्टूबर 2022 से, उनके अभियानों में ड्यूटरबियर नामक इस मैलवेयर का अपडेटेड वर्शन दिखाया गया है।

वॉटरबियर मैलवेयर की डिलीवरी के लिए बैकटेक द्वारा उपयोग की गई संक्रमण श्रृंखला

वाटरबियर को लक्षित डिवाइस तक पैच किए गए वैध निष्पादन योग्य के माध्यम से पहुंचाया जाता है, जो लोडर को लॉन्च करने के लिए DLL साइड-लोडिंग का उपयोग करता है। यह लोडर फिर एक डाउनलोडर को डिक्रिप्ट और निष्पादित करता है, जो RAT मॉड्यूल को पुनः प्राप्त करने के लिए कमांड-एंड-कंट्रोल (C&C) सर्वर से संपर्क करता है।

दिलचस्प बात यह है कि RAT मॉड्यूल को हमलावर द्वारा नियंत्रित इंफ्रास्ट्रक्चर से दो बार प्राप्त किया जाता है। पहली बार प्राप्त करने पर वॉटरबियर प्लगइन लोड होता है, जो किसी अन्य C&C सर्वर से RAT मॉड्यूल प्राप्त करने के लिए वॉटरबियर डाउनलोडर के एक अलग संस्करण को लॉन्च करके सिस्टम को और भी अधिक जोखिम में डालता है।

दूसरे शब्दों में, प्रारंभिक वॉटरबियर आरएटी एक प्लगइन डाउनलोडर के रूप में कार्य करता है, जबकि दूसरा वॉटरबियर आरएटी एक बैकडोर के रूप में कार्य करता है, जो 60 कमांड के एक सेट का उपयोग करके समझौता किए गए होस्ट से संवेदनशील जानकारी एकत्र करता है।

ड्यूटरबियर आरएटी पीड़ितों के उपकरणों को नुकसान पहुंचाने के लिए संशोधित संक्रमण रणनीति पर निर्भर करता है

ड्यूटरबियर के लिए संक्रमण मार्ग वॉटरबियर के समान ही है, जिसमें यह भी RAT बैकडोर घटक को स्थापित करने के लिए दो चरणों को लागू करता है। फिर भी, यह कुछ हद तक इसे बदल भी देता है।

इस मामले में पहला चरण, लोडर को डाउनलोडर लॉन्च करने के लिए नियोजित करता है, जो ड्यूटरबियर आरएटी लाने के लिए सी एंड सी सर्वर से जुड़ता है, एक मध्यस्थ जो डीएलएल साइड-लोडिंग के माध्यम से दूसरे चरण के लोडर के माध्यम से दृढ़ता स्थापित करने का काम करता है। यह लोडर अंततः एक डाउनलोडर को निष्पादित करने के लिए जिम्मेदार है, जो सूचना चोरी के लिए सी एंड सी सर्वर से ड्यूटरबियर आरएटी को फिर से डाउनलोड करता है।

अधिकांश संक्रमित सिस्टम में, केवल दूसरे चरण का ड्यूटरबियर ही उपलब्ध है। 'पर्सिस्टेंस इंस्टॉलेशन' पूरा होने के बाद पहले चरण के ड्यूटरबियर के सभी घटक पूरी तरह से हटा दिए जाते हैं।

ड्यूटरबियर RAT अपने पूर्ववर्ती से अलग विकसित हो सकता है

यह रणनीति हमलावरों के मार्ग को प्रभावी रूप से अस्पष्ट कर देती है, तथा खतरे के शोधकर्ताओं के लिए ड्यूटरबियर मैलवेयर का विश्लेषण करना कठिन बना देती है, विशेष रूप से वास्तविक पीड़ित प्रणालियों के बजाय नकली वातावरण में।

ड्यूटरबियर RAT अपने पूर्ववर्ती का अधिक सुव्यवस्थित संस्करण है, जिसमें केवल कमांड का एक उपसमूह बनाए रखा गया है और इसकी कार्यक्षमता का विस्तार करने के लिए प्लगइन-आधारित दृष्टिकोण को अपनाया गया है। वाटरबियर निरंतर विकास से गुजरा है, जिसके परिणामस्वरूप अंततः ड्यूटरबियर का विकास हुआ। दिलचस्प बात यह है कि वाटरबियर और ड्यूटरबियर दोनों स्वतंत्र रूप से विकसित होते रहते हैं, न कि केवल एक दूसरे की जगह लेते हैं।