Deuterbear RAT
Kiberdrošības pētnieki ir snieguši jaunus ieskatus par Deuterbear, attālās piekļuves Trojas zirgu (RAT), ko izmantoja ar Ķīnu saistītā BlackTech hakeru grupa nesenā kiberspiegošanas kampaņā, kuras mērķauditorija ir Āzijas un Klusā okeāna reģions.
Deuterbear RAT atgādina iepriekš kaitīgu rīku, ko izmantoja grupa, kas pazīstama kā Waterbear. Tomēr tajā ir ievērojami uzlabojumi, tostarp atbalsts shellkoda spraudņiem, darbība bez rokasspiedieniem un HTTPS izmantošana komandu un kontroles (C&C) saziņai. Atšķirībā no Waterbear, Deuterbear izmanto čaulas koda formātu, ietver pretatmiņas skenēšanas paņēmienus un koplieto trafika atslēgu ar savu lejupielādētāju.
Satura rādītājs
BlackTech ir atjauninājis savu draudošo rīku arsenālu
BlackTech, kas darbojas vismaz kopš 2007. gada, kiberdrošības kopienā ir pazīstams ar dažādiem nosaukumiem, tostarp Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn un Temp.Overboard.
Gandrīz 15 gadus grupa savos kiberuzbrukumos bieži ir izmantojusi ļaunprogrammatūru Waterbear (pazīstama arī kā DBGPRINT). Tomēr kopš 2022. gada oktobra viņu kampaņās ir parādīta atjaunināta šīs ļaunprogrammatūras versija ar nosaukumu Deuterbear.
Infekcijas ķēde, ko BackTech izmanto, lai piegādātu Waterbear ļaunprātīgu programmatūru
Waterbear tiek piegādāts mērķa ierīcēm, izmantojot labotu likumīgu izpildāmo failu, kas izmanto DLL sānu ielādi, lai palaistu ielādētāju. Pēc tam šis ielādētājs atšifrē un izpilda lejupielādētāju, kas sazinās ar Command-and-Control (C&C) serveri, lai izgūtu RAT moduli.
Interesanti, ka RAT modulis tiek iegūts divreiz no uzbrucēja kontrolētās infrastruktūras. Pirmajā ielādes reizē tiek ielādēts Waterbear spraudnis, kas vēl vairāk apdraud sistēmu, palaižot citu Waterbear lejupielādētāja versiju, lai izgūtu RAT moduli no cita C&C servera.
Citiem vārdiem sakot, sākotnējais Waterbear RAT darbojas kā spraudņu lejupielādētājs, bet otrais Waterbear RAT darbojas kā aizmugures durvis, apkopojot sensitīvu informāciju no apdraudētā saimniekdatora, izmantojot 60 komandu kopu.
Deuterbear RAT paļaujas uz modificētu infekcijas taktiku, lai apdraudētu upuru ierīces
Deuterbear infekcijas ceļš ir ļoti līdzīgs Waterbear inficēšanās ceļam, jo tajā ir arī ieviesti divi posmi, lai instalētu RAT aizmugures durvju komponentu. Tomēr tas zināmā mērā to arī uzlabo.
Pirmajā posmā šajā gadījumā tiek izmantots ielādētājs, lai palaistu lejupielādētāju, kas savienojas ar C&C serveri, lai iegūtu Deuterbear RAT — starpnieku, kas nodrošina noturību, izmantojot otrās pakāpes ielādētāju, izmantojot DLL sānu ielādi. Šis ielādētājs galu galā ir atbildīgs par lejupielādētāja izpildi, kas atkal lejupielādē Deuterbear RAT no C&C servera informācijas zādzībai.
Lielākajā daļā inficēto sistēmu ir pieejams tikai otrā posma Deuterbear. Visas pirmās pakāpes Deuterbear sastāvdaļas tiek pilnībā noņemtas pēc "noturīgās uzstādīšanas" pabeigšanas.
Deuterbear RAT var attīstīties atsevišķi no tā priekšgājēja
Šī stratēģija efektīvi aizēno uzbrucēju pēdas un apgrūtina draudu pētniekiem Deuterbear ļaunprātīgās programmatūras analīzi, jo īpaši simulētās vidēs, nevis faktiskās upuru sistēmas.
Deuterbear RAT ir tā priekšgājēja racionalizētāka versija, kas saglabā tikai komandu apakškopu un izmanto uz spraudņiem balstītu pieeju, lai paplašinātu tā funkcionalitāti. Ūdenslācis ir piedzīvojis nepārtrauktu attīstību, kas galu galā noveda pie Deuterbear attīstības. Interesanti, ka gan Waterbear, gan Deuterbear turpina attīstīties neatkarīgi, nevis viens tikai aizstāj otru.
