Deuterbear RAT

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានផ្តល់ការយល់ដឹងថ្មីអំពី Deuterbear ដែលជា Trojan ពីចម្ងាយ (RAT) ដែលត្រូវបានជួលដោយក្រុម Hacking BlackTech ដែលភ្ជាប់ជាមួយប្រទេសចិននៅក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតនាពេលថ្មីៗនេះដែលផ្តោតលើតំបន់អាស៊ីប៉ាស៊ីហ្វិក។

Deuterbear RAT ស្រដៀងទៅនឹងឧបករណ៍បង្កគ្រោះថ្នាក់ពីមុនដែលក្រុមនេះប្រើ ដែលគេស្គាល់ថា Waterbear។ ទោះជាយ៉ាងណាក៏ដោយ វាមានលក្ខណៈពិសេសការកែលម្អសំខាន់ៗ រួមទាំងការគាំទ្រសម្រាប់កម្មវិធីជំនួយសែលកូដ ប្រតិបត្តិការដោយគ្មានការចាប់ដៃ និងការប្រើប្រាស់ HTTPS សម្រាប់ការទំនាក់ទំនងបញ្ជា និងបញ្ជា (C&C) ។ មិនដូច Waterbear ទេ Deuterbear ប្រើទម្រង់ shellcode រួមបញ្ចូលបច្ចេកទេសស្កេនប្រឆាំងនឹងអង្គចងចាំ និងចែករំលែកគន្លឹះចរាចរណ៍ជាមួយកម្មវិធីទាញយករបស់វា។

BlackTech បានធ្វើបច្ចុប្បន្នភាពឧបករណ៍គំរាមកំហែង Arsenal របស់ខ្លួន។

សកម្មតាំងពីឆ្នាំ 2007 មក BlackTech ត្រូវបានគេស្គាល់នៅក្នុងសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិតតាមឈ្មោះផ្សេងៗគ្នា រួមមាន Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn និង Temp.Overboard ។

អស់រយៈពេលជិត 15 ឆ្នាំមកហើយ ក្រុមនេះបានប្រើប្រាស់មេរោគ Waterbear malware (ហៅម្យ៉ាងទៀតថា DBGPRINT) នៅក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតរបស់ពួកគេ។ ទោះបីជាយ៉ាងណាក៏ដោយ ចាប់តាំងពីខែតុលា ឆ្នាំ 2022 យុទ្ធនាការរបស់ពួកគេបានបង្ហាញកំណែអាប់ដេតនៃមេរោគនេះហៅថា Deuterbear ។

ខ្សែសង្វាក់ឆ្លងមេរោគត្រូវបានប្រើប្រាស់ដោយ BackTech សម្រាប់ការដឹកជញ្ជូនមេរោគ Waterbear Malware

Waterbear ត្រូវបានបញ្ជូនទៅកាន់ឧបករណ៍គោលដៅតាមរយៈ patched legal executable ដែលប្រើ DLL side-loading ដើម្បីបើកដំណើរការកម្មវិធីផ្ទុក។ កម្មវិធីផ្ទុកនេះបន្ទាប់មក ឌិគ្រីប និងប្រតិបត្តិកម្មវិធីទាញយក ដែលទាក់ទងម៉ាស៊ីនមេ Command-and-Control (C&C) ដើម្បីទាញយកម៉ូឌុល RAT ។

គួរឱ្យចាប់អារម្មណ៍ ម៉ូឌុល RAT ត្រូវបានទាញយកពីរដងពីហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ការទាញយកដំបូងផ្ទុកកម្មវិធីជំនួយ Waterbear ដែលសម្របសម្រួលប្រព័ន្ធដោយបើកដំណើរការកំណែផ្សេងគ្នានៃកម្មវិធីទាញយក Waterbear ដើម្បីទាញយកម៉ូឌុល RAT ពីម៉ាស៊ីនមេ C&C ផ្សេងទៀត។

និយាយម្យ៉ាងទៀត Waterbear RAT ដំបូងដើរតួជាអ្នកទាញយកកម្មវិធីជំនួយ ចំណែក Waterbear RAT ទីពីរមានមុខងារជា backdoor ប្រមូលព័ត៌មានរសើបពីម៉ាស៊ីនដែលសម្របសម្រួលដោយប្រើសំណុំនៃ 60 ពាក្យបញ្ជា។

Deuterbear RAT ពឹងផ្អែកលើវិធីសាស្ត្រឆ្លងមេរោគដែលបានកែប្រែ ដើម្បីសម្របសម្រួលឧបករណ៍របស់ជនរងគ្រោះ

ផ្លូវឆ្លងសម្រាប់ Deuterbear គឺស្រដៀងទៅនឹង Waterbear ដែរ ហើយវាក៏អនុវត្តពីរដំណាក់កាលដើម្បីដំឡើង RAT backdoor component ផងដែរ។ ទោះយ៉ាងណាក៏ដោយ វាក៏កែប្រែវាក្នុងកម្រិតខ្លះដែរ។

ដំណាក់កាលទី 1 ក្នុងករណីនេះ ជួលកម្មវិធីផ្ទុកទិន្នន័យដើម្បីបើកដំណើរការកម្មវិធីទាញយក ដែលភ្ជាប់ទៅម៉ាស៊ីនមេ C&C ដើម្បីទាញយក Deuterbear RAT ដែលជាអន្តរការីដែលបម្រើដើម្បីបង្កើតភាពជាប់លាប់តាមរយៈកម្មវិធីផ្ទុកដំណាក់កាលទីពីរតាមរយៈការផ្ទុកចំហៀង DLL ។ កម្មវិធីទាញយកនេះនៅទីបំផុតទទួលខុសត្រូវចំពោះការប្រតិបត្តិកម្មវិធីទាញយក ដែលទាញយក Deuterbear RAT ពីម៉ាស៊ីនមេ C&C ម្តងទៀតសម្រាប់ការលួចព័ត៌មាន។

នៅក្នុងប្រព័ន្ធឆ្លងមេរោគភាគច្រើន មានតែដំណាក់កាលទីពីរ Deuterbear ប៉ុណ្ណោះដែលអាចប្រើបាន។ សមាសធាតុទាំងអស់នៃដំណាក់កាលដំបូង Deuterbear ត្រូវបានយកចេញទាំងស្រុងបន្ទាប់ពី 'ការដំឡើងជាប់លាប់' ត្រូវបានបញ្ចប់។

Deuterbear RAT អាចនឹងវិវឌ្ឍដាច់ដោយឡែកពីជំនាន់មុនរបស់វា។

យុទ្ធសាស្រ្តនេះមានប្រសិទ្ធភាពបិទបាំងផ្លូវរបស់អ្នកវាយប្រហារ និងធ្វើឱ្យមានការលំបាកសម្រាប់អ្នកស្រាវជ្រាវការគំរាមកំហែងក្នុងការវិភាគមេរោគ Deuterbear ជាពិសេសនៅក្នុងបរិស្ថានក្លែងធ្វើ ជំនួសឱ្យប្រព័ន្ធជនរងគ្រោះពិតប្រាកដ។

Deuterbear RAT គឺជាកំណែកាន់តែងាយស្រួលនៃអ្នកកាន់តំណែងមុនរបស់វា ដោយរក្សាបានតែសំណុំរងនៃពាក្យបញ្ជា និងទទួលយកវិធីសាស្រ្តផ្អែកលើកម្មវិធីជំនួយដើម្បីពង្រីកមុខងាររបស់វា។ Waterbear បានឆ្លងកាត់ការវិវត្តជាបន្តបន្ទាប់ ដែលទីបំផុតនាំទៅដល់ការវិវត្តន៍របស់ Deuterbear ។ គួរឱ្យចាប់អារម្មណ៍ ទាំង Waterbear និង Deuterbear បន្តវិវឌ្ឍដោយឯករាជ្យ ជាជាងមួយគ្រាន់តែជំនួសមួយផ្សេងទៀត។