Deuterbear RAT
A kiberbiztonsági kutatók új betekintést nyújtottak a Deuterbear-be, a távoli hozzáférésű trójaiba (RAT), amelyet a Kínához köthető BlackTech hackercsoport alkalmazott az ázsiai-csendes-óceáni térséget célzó közelmúltbeli kiberkémkampányban.
A Deuterbear RAT egy korábban a csoport által használt ártalmas eszközre hasonlít, amelyet Waterbear néven ismertek. Mindazonáltal jelentős fejlesztéseket tartalmaz, beleértve a shellkód-bővítmények támogatását, a kézfogás nélküli működést és a HTTPS használatát a parancs- és vezérlés (C&C) kommunikációhoz. A Waterbear-rel ellentétben a Deuterbear shellkód formátumot használ, memória-ellenőrzési technikákat tartalmaz, és megoszt egy forgalmi kulcsot a letöltőjével.
Tartalomjegyzék
A BlackTech frissítette a fenyegető eszközök arzenálját
A legalább 2007 óta aktív BlackTech a kiberbiztonsági közösségben különféle neveken ismert, köztük Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn és Temp.Overboard.
A csoport közel 15 éve gyakran használta a Waterbear kártevőt (más néven DBGPRINT) kibertámadásaihoz. 2022 októbere óta azonban kampányaikban ennek a rosszindulatú programnak a frissített verziója, a Deuterbear szerepel.
A fertőzési lánc, amelyet a BackTech használt a Waterbear rosszindulatú programok szállítására
A Waterbear a megcélzott eszközökre egy javított, legitim végrehajtható fájlon keresztül érkezik, amely DLL oldalbetöltést használ a betöltő elindításához. Ez a betöltő ezután dekódol és végrehajt egy letöltőt, amely kapcsolatba lép egy Command-and-Control (C&C) szerverrel a RAT modul lekérése érdekében.
Érdekes módon a RAT modult kétszer kéri le a támadó által vezérelt infrastruktúra. Az első letöltés egy Waterbear beépülő modult tölt be, amely tovább veszélyezteti a rendszert azáltal, hogy elindítja a Waterbear letöltő egy másik verzióját, hogy lekérje a RAT modult egy másik C&C szerverről.
Más szavakkal, az eredeti Waterbear RAT beépülő modul letöltőként működik, míg a második Waterbear RAT hátsó ajtóként működik, és 60 parancsból álló készlet segítségével gyűjti össze az érzékeny információkat a feltört gazdagéptől.
A Deuterbear RAT módosított fertőzési taktikára támaszkodik az áldozatok eszközeinek veszélyeztetése érdekében
A Deuterbear fertőzési útvonala nagyon hasonlít a Waterbear fertőzési útvonalához, mivel két lépésben valósítja meg a RAT hátsó ajtó összetevőjének telepítését. Ennek ellenére bizonyos mértékig finomítja is.
Az első szakasz, ebben az esetben, a betöltőt alkalmazza egy letöltő elindítására, amely csatlakozik a C&C szerverhez, és lekéri a Deuterbear RAT-ot, egy közvetítőt, amely a DLL oldalsó betöltésén keresztül a második lépcsős betöltőn keresztül biztosítja a tartósságot. Ez a betöltő végső soron felelős egy letöltő végrehajtásáért, amely ismét letölti a Deuterbear RAT-ot egy C&C szerverről információlopás céljából.
A legtöbb fertőzött rendszerben csak a második fokozatú Deuterbear érhető el. Az első szakaszban lévő Deuterbear összes alkatrésze teljesen eltávolításra kerül, miután a „tartós telepítés” befejeződött.
Lehet, hogy a Deuterbear RAT az elődjétől külön fejlődik
Ez a stratégia hatékonyan eltakarja a támadók nyomait, és megnehezíti a fenyegetéskutatók számára a Deuterbear rosszindulatú program elemzését, különösen szimulált környezetben, a tényleges áldozatrendszerek helyett.
A Deuterbear RAT az elődjének egyszerűbb változata, amely csak a parancsok egy részét tartja meg, és egy plugin-alapú megközelítést alkalmaz a funkcionalitás bővítésére. A Waterbear folyamatos fejlődésen ment keresztül, ami végül a Deuterbear kifejlesztéséhez vezetett. Érdekes módon mind a Waterbear, mind a Deuterbear egymástól függetlenül fejlődik, ahelyett, hogy az egyik csupán helyettesítené a másikat.
