RATTO Deuterbear
I ricercatori di sicurezza informatica hanno fornito nuove informazioni su Deuterbear, un Trojan di accesso remoto (RAT) utilizzato dal gruppo di hacker BlackTech legato alla Cina in una recente campagna di spionaggio informatico contro la regione Asia-Pacifico.
Il Deuterbear RAT assomiglia a uno strumento precedentemente dannoso utilizzato dal gruppo, noto come Waterbear. Tuttavia, presenta miglioramenti significativi, incluso il supporto per plug-in shellcode, funzionamento senza handshake e l'uso di HTTPS per la comunicazione comando e controllo (C&C). A differenza di Waterbear, Deuterbear utilizza un formato shellcode, incorpora tecniche di scansione anti-memoria e condivide una chiave di traffico con il suo downloader.
Sommario
BlackTech ha aggiornato il suo arsenale di strumenti di minaccia
Attivo almeno dal 2007, BlackTech è conosciuto nella comunità della sicurezza informatica con vari nomi, tra cui Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Da quasi 15 anni il gruppo utilizza spesso il malware Waterbear (noto anche come DBGPRINT) nei propri attacchi informatici. Tuttavia, dall’ottobre 2022, le loro campagne presentano una versione aggiornata di questo malware chiamato Deuterbear.
La catena di infezione utilizzata da BackTech per la distribuzione del malware Waterbear
Waterbear viene distribuito ai dispositivi presi di mira tramite un eseguibile legittimo con patch, che utilizza il caricamento laterale DLL per avviare un caricatore. Questo caricatore quindi decrittografa ed esegue un downloader, che contatta un server di comando e controllo (C&C) per recuperare il modulo RAT.
È interessante notare che il modulo RAT viene recuperato due volte dall'infrastruttura controllata dall'aggressore. Il primo recupero carica un plugin Waterbear, che compromette ulteriormente il sistema avviando una versione diversa del downloader Waterbear per recuperare il modulo RAT da un altro server C&C.
In altre parole, il primo Waterbear RAT funge da downloader di plug-in, mentre il secondo Waterbear RAT funziona come una backdoor, raccogliendo informazioni sensibili dall'host compromesso utilizzando una serie di 60 comandi.
Il RAT Deuterbear si affida a tattiche di infezione modificate per compromettere i dispositivi delle vittime
Il percorso di infezione di Deuterbear è molto simile a quello di Waterbear in quanto implementa anch'esso due fasi per installare il componente backdoor RAT. Tuttavia, lo modifica anche in una certa misura.
La prima fase, in questo caso, utilizza il caricatore per avviare un downloader, che si connette al server C&C per recuperare Deuterbear RAT, un intermediario che serve a stabilire la persistenza attraverso un caricatore di seconda fase tramite sideload DLL. Questo caricatore è in ultima analisi responsabile dell'esecuzione di un downloader, che scarica nuovamente il Deuterbear RAT da un server C&C per il furto di informazioni.
Nella maggior parte dei sistemi infetti è disponibile solo il secondo stadio Deuterbear. Tutti i componenti del primo stadio Deuterbear vengono completamente rimossi una volta completata l'installazione di persistenza.
Il RAT Deuterbear potrebbe evolversi separatamente dal suo predecessore
Questa strategia nasconde efficacemente le tracce degli aggressori e rende difficile per i ricercatori di minacce analizzare il malware Deuterbear, soprattutto in ambienti simulati, invece che nei sistemi delle vittime reali.
Il Deuterbear RAT è una versione più snella del suo predecessore, conserva solo un sottoinsieme di comandi e adotta un approccio basato su plugin per espandere le sue funzionalità. Waterbear ha subito una continua evoluzione, portando infine allo sviluppo di Deuterbear. È interessante notare che sia Waterbear che Deuterbear continuano ad evolversi in modo indipendente, anziché limitarsi a sostituire l'uno con l'altro.
