TIKUS Deuterbear
Penyelidik keselamatan siber telah memberikan pandangan baharu tentang Deuterbear, sebuah Trojan Akses Jauh (RAT) yang digunakan oleh kumpulan penggodam BlackTech yang berkaitan dengan China dalam kempen pengintipan siber baru-baru ini yang menyasarkan rantau Asia-Pasifik.
RAT Deuterbear menyerupai alat yang sebelum ini berbahaya yang digunakan oleh kumpulan itu, yang dikenali sebagai Waterbear. Walau bagaimanapun, ia menampilkan peningkatan yang ketara, termasuk sokongan untuk pemalam shellcode, operasi tanpa jabat tangan dan penggunaan HTTPS untuk komunikasi arahan dan kawalan (C&C). Tidak seperti Waterbear, Deuterbear menggunakan format shellcode, menggabungkan teknik pengimbasan anti-memori dan berkongsi kunci trafik dengan pemuat turunnya.
Isi kandungan
BlackTech Telah Mengemas kini Arsenal Alat Mengancamnya
Aktif sejak sekurang-kurangnya 2007, BlackTech telah dikenali dalam komuniti keselamatan siber dengan pelbagai nama, termasuk Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn dan Temp.Overboard.
Selama hampir 15 tahun, kumpulan itu telah kerap menggunakan perisian hasad Waterbear (juga dikenali sebagai DBGPRINT) dalam serangan siber mereka. Walau bagaimanapun, sejak Oktober 2022, kempen mereka telah menampilkan versi perisian hasad yang dikemas kini yang dipanggil Deuterbear.
Rantaian Jangkitan Digunakan oleh BackTech untuk Penghantaran Perisian Hasad Waterbear
Waterbear dihantar ke peranti yang disasarkan melalui boleh laku sah yang ditampal, yang menggunakan pemuatan sisi DLL untuk melancarkan pemuat. Pemuat ini kemudiannya menyahsulit dan melaksanakan pemuat turun, yang menghubungi pelayan Perintah-dan-Kawalan (C&C) untuk mendapatkan semula modul RAT.
Menariknya, modul RAT diambil dua kali daripada infrastruktur yang dikawal oleh penyerang. Pengambilan pertama memuatkan pemalam Waterbear, yang seterusnya menjejaskan sistem dengan melancarkan versi lain bagi pemuat turun Waterbear untuk mendapatkan semula modul RAT daripada pelayan C&C yang lain.
Dalam erti kata lain, Waterbear RAT awal bertindak sebagai pemuat turun pemalam, manakala Waterbear RAT kedua berfungsi sebagai pintu belakang, mengumpul maklumat sensitif daripada hos yang terjejas menggunakan set 60 arahan.
RAT Deuterbear Bergantung pada Taktik Jangkitan yang Diubah Suai untuk Mengkompromi Peranti Mangsa
Laluan jangkitan untuk Deuterbear sangat serupa dengan Waterbear kerana ia juga melaksanakan dua peringkat untuk memasang komponen pintu belakang RAT. Namun, ia juga mengubahnya sedikit sebanyak.
Peringkat pertama, dalam kes ini, menggunakan pemuat untuk melancarkan pemuat turun, yang bersambung ke pelayan C&C untuk mengambil Deuterbear RAT, perantara yang berfungsi untuk mewujudkan kegigihan melalui pemuat peringkat kedua melalui pemuatan sisi DLL. Pemuat ini akhirnya bertanggungjawab untuk melaksanakan pemuat turun, yang sekali lagi memuat turun RAT Deuterbear daripada pelayan C&C untuk kecurian maklumat.
Dalam kebanyakan sistem yang dijangkiti, hanya Deuterbear peringkat kedua tersedia. Semua komponen Deuterbear peringkat pertama dikeluarkan sepenuhnya selepas 'pemasangan berterusan' selesai.
RAT Deuterbear mungkin Berkembang Secara Berasingan daripada Pendahulunya
Strategi ini secara berkesan mengaburkan jejak penyerang dan menyukarkan penyelidik ancaman untuk menganalisis perisian hasad Deuterbear, terutamanya dalam persekitaran simulasi, bukannya sistem mangsa sebenar.
Deuterbear RAT ialah versi yang lebih diperkemas daripada pendahulunya, hanya mengekalkan subset perintah dan menggunakan pendekatan berasaskan pemalam untuk mengembangkan fungsinya. Waterbear telah mengalami evolusi berterusan, akhirnya membawa kepada pembangunan Deuterbear. Menariknya, kedua-dua Waterbear dan Deuterbear terus berkembang secara bebas, bukannya satu hanya menggantikan yang lain.
