듀터베어 RAT
사이버 보안 연구원들이 최근 아시아 태평양 지역을 표적으로 삼은 사이버 스파이 캠페인에서 중국과 연계된 BlackTech 해킹 그룹이 사용한 원격 액세스 트로이 목마(RAT)인 Deuterbear에 대한 새로운 통찰력을 제공했습니다.
Deuterbear RAT는 이 그룹이 사용했던 이전에 유해한 도구인 Waterbear와 유사합니다. 그러나 쉘코드 플러그인 지원, 핸드셰이크 없는 작동, 명령 및 제어(C&C) 통신을 위한 HTTPS 사용 등 상당한 개선이 이루어졌습니다. Waterbear와 달리 Deuterbear는 쉘코드 형식을 사용하고 안티메모리 스캐닝 기술을 통합하며 다운로더와 트래픽 키를 공유합니다.
목차
BlackTech는 위협 도구를 업데이트하고 있습니다.
최소 2007년부터 활동한 BlackTech는 사이버 보안 커뮤니티에서 Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn 및 Temp.Overboard를 비롯한 다양한 이름으로 알려져 있습니다.
거의 15년 동안 이 그룹은 사이버 공격에 Waterbear 악성 코드(DBGPRINT라고도 함)를 자주 사용해 왔습니다. 그러나 2022년 10월부터 그들의 캠페인에는 Deuterbear라는 이 악성코드의 업데이트된 버전이 등장했습니다.
BackTech가 Waterbear 악성 코드를 전달하기 위해 활용하는 감염 체인
Waterbear는 DLL 사이드 로딩을 사용하여 로더를 실행하는 패치된 합법적인 실행 파일을 통해 대상 장치에 전달됩니다. 그런 다음 이 로더는 C&C(명령 및 제어) 서버에 연결하여 RAT 모듈을 검색하는 다운로더를 해독하고 실행합니다.
흥미롭게도 RAT 모듈은 공격자가 제어하는 인프라에서 두 번 가져옵니다. 첫 번째 가져오기에서는 Waterbear 플러그인을 로드합니다. 이 플러그인은 다른 C&C 서버에서 RAT 모듈을 검색하기 위해 다른 버전의 Waterbear 다운로더를 실행하여 시스템을 더욱 손상시킵니다.
즉, 초기 Waterbear RAT는 플러그인 다운로더 역할을 하고, 두 번째 Waterbear RAT는 백도어 역할을 하여 60개의 명령 세트를 사용하여 손상된 호스트에서 민감한 정보를 수집합니다.
Deuterbear RAT는 수정된 감염 전술을 사용하여 피해자의 장치를 손상시킵니다.
Deuterbear의 감염 경로는 RAT 백도어 구성 요소를 설치하기 위해 두 단계를 구현한다는 점에서 Waterbear의 감염 경로와 매우 유사합니다. 그래도 어느 정도는 조정됩니다.
이 경우 첫 번째 단계에서는 로더를 사용하여 다운로더를 실행합니다. 이 다운로더는 C&C 서버에 연결하여 DLL 사이드 로딩을 통해 두 번째 단계 로더를 통해 지속성을 설정하는 중개자인 Deuterbear RAT를 가져옵니다. 이 로더는 궁극적으로 정보 도용을 위해 C&C 서버에서 Deuterbear RAT를 다시 다운로드하는 다운로더를 실행하는 역할을 담당합니다.
대부분의 감염된 시스템에서는 두 번째 단계의 Deuterbear만 사용할 수 있습니다. '지속성 설치'가 완료된 후 첫 번째 단계 Deuterbear의 모든 구성 요소가 완전히 제거됩니다.
Deuterbear RAT는 이전 버전과 별도로 진화할 수 있습니다.
이 전략은 공격자의 추적을 효과적으로 모호하게 만들고 위협 연구자가 실제 피해자 시스템이 아닌 시뮬레이션된 환경에서 Deuterbear 악성 코드를 분석하는 것을 어렵게 만듭니다.
Deuterbear RAT는 이전 버전보다 더 간소화된 버전으로, 명령의 하위 집합만 유지하고 플러그인 기반 접근 방식을 채택하여 기능을 확장합니다. Waterbear는 지속적인 진화를 거쳐 Deuterbear의 개발로 이어졌습니다. 흥미롭게도 Waterbear와 Deuterbear는 단순히 하나가 다른 하나를 대체하는 것이 아니라 독립적으로 계속해서 진화하고 있습니다.
