Deuterbear RAT
Kibernetinio saugumo tyrėjai pateikė naujų įžvalgų apie Deuterbear – nuotolinės prieigos Trojos arklį (RAT), kurį naudoja su Kinija susijusi BlackTech įsilaužimo grupė neseniai vykusioje kibernetinio šnipinėjimo kampanijoje, nukreiptoje į Azijos ir Ramiojo vandenyno regioną.
Deuterbear RAT primena anksčiau kenksmingą įrankį, kurį naudojo grupė, žinomą kaip Waterbear. Tačiau jame yra reikšmingų patobulinimų, įskaitant apvalkalo kodo įskiepių palaikymą, veikimą be rankos paspaudimų ir HTTPS naudojimą komandų ir valdymo (C&C) ryšiui. Skirtingai nei „Waterbear“, „Deuterbear“ naudoja apvalkalo kodo formatą, apima anti-atminties nuskaitymo metodus ir dalijasi srauto raktu su savo atsisiuntimo priemone.
Turinys
„BlackTech“ atnaujino savo grėsmingų įrankių arsenalą
Veikianti mažiausiai nuo 2007 m., BlackTech kibernetinio saugumo bendruomenėje buvo žinoma įvairiais pavadinimais, įskaitant Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ir Temp.Overboard.
Beveik 15 metų grupė savo kibernetinėse atakose dažnai naudojo „Waterbear“ kenkėjišką programą (taip pat žinomą kaip DBGPRINT). Tačiau nuo 2022 m. spalio mėn. jų kampanijose buvo atnaujinta šios kenkėjiškos programos versija, pavadinta „Deuterbear“.
Infekcijos grandinė, kurią „BackTech“ naudojo „Waterbear“ kenkėjiškų programų pristatymui
„Waterbear“ į tikslinius įrenginius pristatomas naudojant pataisytą teisėtą vykdomąjį failą, kuris naudoja DLL šoninį įkėlimą, kad paleistų įkroviklį. Tada šis įkroviklis iššifruoja ir vykdo atsisiuntimo programą, kuri susisiekia su komandų ir valdymo (C&C) serveriu, kad gautų RAT modulį.
Įdomu tai, kad RAT modulis du kartus paimamas iš užpuolikų valdomos infrastruktūros. Pirmą kartą gavus įkeliamas „Waterbear“ papildinys, kuris dar labiau kenkia sistemai, paleisdamas kitą „Waterbear“ atsisiuntimo programos versiją, kad būtų galima gauti RAT modulį iš kito C&C serverio.
Kitaip tariant, pradinis „Waterbear RAT“ veikia kaip įskiepių atsisiuntimo priemonė, o antrasis „Waterbear RAT“ veikia kaip užpakalinės durys, renkantis jautrią informaciją iš pažeisto pagrindinio kompiuterio, naudodamas 60 komandų rinkinį.
Deuterbear RAT remiasi modifikuota infekcijos taktika, kad pakenktų aukų įrenginiams
Deuterbear infekcijos kelias yra labai panašus į Waterbear, nes jis taip pat įgyvendina du etapus, skirtus RAT užpakalinių durų komponentui įdiegti. Vis dėlto jis tam tikru mastu jį patobulina.
Šiuo atveju pirmasis etapas naudoja įkroviklį, kad paleistų atsisiuntimo programą, kuri prisijungia prie C&C serverio, kad gautų Deuterbear RAT – tarpininką, kuris padeda nustatyti patvarumą per antrosios pakopos įkroviklį per DLL šoninį įkėlimą. Šis įkroviklis galiausiai yra atsakingas už atsisiuntimo programos vykdymą, kuri vėl atsisiunčia Deuterbear RAT iš C&C serverio, kad pavogtų informaciją.
Daugumoje užkrėstų sistemų yra tik antrosios pakopos Deuterbear. Visi pirmojo etapo „Deuterbear“ komponentai visiškai pašalinami, kai baigiamas „nuolatinis diegimas“.
„Deuterbear RAT“ gali vystytis atskirai nuo savo pirmtako
Ši strategija veiksmingai užstoja užpuolikų pėdsakus ir apsunkina grėsmių tyrinėtojams analizuoti Deuterbear kenkėjišką programinę įrangą, ypač imituojamoje aplinkoje, o ne tikras aukų sistemas.
„Deuterbear RAT“ yra labiau supaprastinta savo pirmtako versija, išlaikanti tik komandų poaibį ir naudojant įskiepiu pagrįstą metodą, siekiant išplėsti savo funkcijas. „Waterbear“ patyrė nuolatinę evoliuciją, kuri galiausiai paskatino „Deuterbear“ vystymąsi. Įdomu tai, kad ir „Waterbear“, ir „Deuterbear“ toliau vystosi nepriklausomai, o ne vienas tik pakeičia kitą.
