Deuterbear RAT
Cybersikkerhetsforskere har gitt ny innsikt i Deuterbear, en fjerntilgangstrojaner (RAT) ansatt av den Kina-tilknyttede BlackTech- hackinggruppen i en nylig nettspionasjekampanje rettet mot Asia-Stillehavsregionen.
Deuterbear RAT ligner et tidligere skadelig verktøy som ble brukt av gruppen, kjent som Waterbear. Imidlertid har den betydelige forbedringer, inkludert støtte for shellcode-plugins, drift uten håndtrykk og bruk av HTTPS for kommando-og-kontroll (C&C) kommunikasjon. I motsetning til Waterbear, bruker Deuterbear et skallkodeformat, inkorporerer anti-minne skanningsteknikker og deler en trafikknøkkel med sin nedlaster.
Innholdsfortegnelse
BlackTech har oppdatert Arsenal av truende verktøy
BlackTech har vært aktiv siden minst 2007, og har vært kjent i nettsikkerhetsmiljøet under forskjellige navn, inkludert Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn og Temp.Overboard.
I nesten 15 år har gruppen ofte brukt Waterbear malware (også kjent som DBGPRINT) i sine cyberangrep. Siden oktober 2022 har imidlertid kampanjene deres inneholdt en oppdatert versjon av denne skadelige programvaren kalt Deuterbear.
Infeksjonskjeden som brukes av BackTech for levering av Waterbear-skadelig programvare
Waterbear leveres til de målrettede enhetene via en lappet legitim kjørbar fil, som bruker DLL-sidelasting for å starte en laster. Denne lasteren dekrypterer og kjører en nedlaster, som kontakter en Command-and-Control-server (C&C) for å hente RAT-modulen.
Interessant nok hentes RAT-modulen to ganger fra den angriperkontrollerte infrastrukturen. Den første hentingen laster inn en Waterbear-plugin, som kompromitterer systemet ytterligere ved å starte en annen versjon av Waterbear-nedlasteren for å hente RAT-modulen fra en annen C&C-server.
Med andre ord fungerer den første Waterbear RAT som en plugin-nedlaster, mens den andre Waterbear RAT fungerer som en bakdør, og samler inn sensitiv informasjon fra den kompromitterte verten ved hjelp av et sett med 60 kommandoer.
Deuterbear RAT er avhengig av modifisert infeksjonstaktikk for å kompromittere ofrenes enheter
Infeksjonsveien for Deuterbear er veldig lik den for Waterbear ved at den også implementerer to trinn for å installere RAT-bakdørskomponenten. Likevel justerer den det til en viss grad.
Det første trinnet, i dette tilfellet, bruker lasteren til å starte en nedlaster, som kobles til C&C-serveren for å hente Deuterbear RAT, en mellommann som tjener til å etablere utholdenhet gjennom en andre-trinns laster via DLL-sidelasting. Denne lasteren er til syvende og sist ansvarlig for å utføre en nedlaster, som igjen laster ned Deuterbear RAT fra en C&C-server for informasjonstyveri.
I de fleste av de infiserte systemene er bare andre stadium Deuterbear tilgjengelig. Alle komponentene i det første trinnet Deuterbear er fullstendig fjernet etter at 'utholdenhetsinstallasjonen' er fullført.
Deuterbear RAT kan utvikle seg separat fra forgjengeren
Denne strategien skjuler effektivt angripernes spor og gjør det vanskelig for trusselforskere å analysere Deuterbear-malwaren, spesielt i simulerte miljøer, i stedet for faktiske offersystemer.
Deuterbear RAT er en mer strømlinjeformet versjon av forgjengeren, som bare beholder et undersett av kommandoer og tar i bruk en plugin-basert tilnærming for å utvide funksjonaliteten. Waterbear har gjennomgått kontinuerlig utvikling, noe som til slutt førte til utviklingen av Deuterbear. Interessant nok fortsetter både Waterbear og Deuterbear å utvikle seg uavhengig, i stedet for at den ene bare erstatter den andre.
