Deuterbear ŠTAKOR
Istraživači kibernetičke sigurnosti dali su nove uvide u Deuterbear, trojanac s daljinskim pristupom (RAT) kojeg koristi hakerska grupa BlackTech povezana s Kinom u nedavnoj kampanji kibernetičke špijunaže usmjerene na azijsko-pacifičku regiju.
Deuterbear RAT nalikuje ranije štetnom alatu koji je koristila grupa, poznata kao Waterbear. Međutim, sadrži značajna poboljšanja, uključujući podršku za shellcode dodatke, rad bez rukovanja i korištenje HTTPS-a za naredbeno-kontrolnu (C&C) komunikaciju. Za razliku od Waterbeara, Deuterbear koristi shellcode format, uključuje tehnike skeniranja protiv memorije i dijeli prometni ključ sa svojim preuzimačem.
Sadržaj
BlackTech je ažurirao svoj arsenal prijetećih alata
Aktivan najmanje od 2007., BlackTech je u zajednici kibernetičke sigurnosti poznat pod raznim imenima, uključujući Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn i Temp.Overboard.
Gotovo 15 godina grupa je često koristila malware Waterbear (također poznat kao DBGPRINT) u svojim cyber napadima. Međutim, od listopada 2022. njihove kampanje sadrže ažuriranu verziju ovog zlonamjernog softvera pod nazivom Deuterbear.
Lanac zaraze koji BackTech koristi za isporuku zlonamjernog softvera Waterbear
Waterbear se isporučuje ciljanim uređajima putem zakrpane legitimne izvršne datoteke, koja koristi bočno učitavanje DLL-a za pokretanje učitavača. Ovaj program za učitavanje zatim dekriptira i izvršava program za preuzimanje, koji kontaktira Command-and-Control (C&C) poslužitelj kako bi dohvatio RAT modul.
Zanimljivo je da se RAT modul dvaput dohvaća iz infrastrukture koju kontrolira napadač. Prvo dohvaćanje učitava dodatak Waterbear, koji dodatno kompromitira sustav pokretanjem različite verzije programa za preuzimanje Waterbear za dohvaćanje RAT modula s drugog C&C poslužitelja.
Drugim riječima, početni Waterbear RAT djeluje kao program za preuzimanje dodataka, dok drugi Waterbear RAT funkcionira kao backdoor, prikupljajući osjetljive informacije s kompromitiranog računala pomoću skupa od 60 naredbi.
Deuterbear RAT se oslanja na modificiranu taktiku zaraze kako bi ugrozio uređaje žrtava
Put infekcije za Deuterbear vrlo je sličan onome za Waterbear u tome što također implementira dvije faze za instaliranje RAT backdoor komponente. Ipak, također ga u određenoj mjeri prilagođava.
Prva faza, u ovom slučaju, koristi učitavač za pokretanje programa za preuzimanje, koji se povezuje s C&C poslužiteljem za dohvaćanje Deuterbear RAT-a, posrednika koji služi za uspostavljanje postojanosti kroz učitavač druge faze putem DLL bočnog učitavanja. Ovaj učitavač je u konačnici odgovoran za izvršavanje učitavača, koji opet preuzima Deuterbear RAT s C&C poslužitelja za krađu informacija.
U većini zaraženih sustava dostupan je samo Deuterbear drugog stupnja. Sve komponente prvog stupnja Deuterbeara u potpunosti su uklonjene nakon dovršetka 'stalne instalacije'.
Deuterbear RAT možda se razvija odvojeno od svog prethodnika
Ova strategija učinkovito prikriva tragove napadača i otežava istraživačima prijetnji analizu zlonamjernog softvera Deuterbear, posebno u simuliranim okruženjima, umjesto stvarnih sustava žrtve.
Deuterbear RAT je modernija verzija svog prethodnika, zadržava samo podskup naredbi i usvaja pristup temeljen na dodacima za proširenje svoje funkcionalnosti. Waterbear je prošao kontinuiranu evoluciju, što je u konačnici dovelo do razvoja Deuterbeara. Zanimljivo je da se i Waterbear i Deuterbear nastavljaju neovisno razvijati, umjesto da jedan samo zamjenjuje drugi.
