Deuterbear RAT

साइबरसुरक्षा अनुसन्धानकर्ताहरूले ड्युटरबियरमा नयाँ अन्तर्दृष्टि प्रदान गरेका छन्, रिमोट एक्सेस ट्रोजन (RAT) जुन चीन-सम्बन्धित ब्ल्याकटेक ह्याकिङ समूहले एसिया-प्रशान्त क्षेत्रलाई लक्षित गरी हालैको साइबर जासूसी अभियानमा प्रयोग गरेको छ।

Deuterbear RAT समूहले प्रयोग गरेको पहिलेको हानिकारक उपकरण जस्तो देखिन्छ, जसलाई Waterbear भनिन्छ। जे होस्, यसले शेलकोड प्लगइनहरूको लागि समर्थन, ह्यान्डशेक बिना सञ्चालन, र कमाण्ड-एन्ड-कन्ट्रोल (C&C) संचारको लागि HTTPS को प्रयोग सहित महत्त्वपूर्ण सुधारहरू समावेश गर्दछ। Waterbear को विपरीत, Deuterbear ले शेलकोड ढाँचा प्रयोग गर्दछ, एन्टी-मेमोरी स्क्यानिङ प्रविधिहरू समावेश गर्दछ, र यसको डाउनलोडरसँग ट्राफिक कुञ्जी साझेदारी गर्दछ।

ब्ल्याकटेकले धम्की दिने उपकरणहरूको आफ्नो शस्त्रागार अपडेट गरिरहेको छ

कम्तिमा 2007 देखि सक्रिय, BlackTech साइबर सुरक्षा समुदायमा सर्किट पान्डा, अर्थ हुन्डुन, HUAPI, मङ्गा वृषभ, पाल्मरवर्म, रेड डिजिन, र Temp.Overboard लगायत विभिन्न नामले परिचित छ।

लगभग 15 वर्षको लागि, समूहले प्राय: तिनीहरूको साइबर आक्रमणहरूमा Waterbear मालवेयर (DBGPRINT पनि भनिन्छ) प्रयोग गरेको छ। यद्यपि, अक्टोबर २०२२ देखि, तिनीहरूको अभियानहरूले यस मालवेयरको अद्यावधिक संस्करणलाई Deuterbear भनिन्छ।

वाटरबियर मालवेयरको डेलिभरीको लागि ब्याकटेक द्वारा प्रयोग गरिएको संक्रमण श्रृंखला

वाटरबियर लक्षित उपकरणहरूमा प्याच गरिएको वैध कार्यान्वयन योग्य मार्फत डेलिभर गरिन्छ, जसले लोडर सुरू गर्न DLL साइड-लोडिङ प्रयोग गर्दछ। यो लोडरले त्यसपछि डाउनलोडरलाई डिक्रिप्ट र कार्यान्वयन गर्छ, जसले RAT मोड्युल पुन: प्राप्त गर्न कमाण्ड-एन्ड-कन्ट्रोल (C&C) सर्भरलाई सम्पर्क गर्छ।

चाखलाग्दो कुरा के छ भने, RAT मोड्युल आक्रमणकर्ता-नियन्त्रित पूर्वाधारबाट दुई पटक ल्याइएको छ। पहिलो फेचले वाटरबेयर प्लगइन लोड गर्छ, जसले अर्को C&C सर्भरबाट RAT मोड्युल पुन: प्राप्त गर्न वाटरबियर डाउनलोडरको फरक संस्करण लन्च गरेर प्रणालीलाई थप सम्झौता गर्छ।

अर्को शब्दमा भन्नुपर्दा, प्रारम्भिक Waterbear RAT ले प्लगइन डाउनलोडरको रूपमा काम गर्दछ, जबकि दोस्रो Waterbear RAT ले ब्याकडोरको रूपमा कार्य गर्दछ, 60 आदेशहरूको सेट प्रयोग गरेर सम्झौता गरिएको होस्टबाट संवेदनशील जानकारी सङ्कलन गर्दछ।

Deuterbear RAT पीडितहरूको उपकरणहरू सम्झौता गर्न परिमार्जित संक्रमण रणनीतिहरूमा निर्भर गर्दछ

Deuterbear को लागि संक्रमण मार्ग वाटरबियर जस्तै धेरै मिल्दोजुल्दो छ कि यसले RAT ब्याकडोर कम्पोनेन्ट स्थापना गर्न दुई चरणहरू पनि लागू गर्दछ। अझै, यसले केहि हदसम्म यसलाई ट्वीक्स पनि गर्दछ।

पहिलो चरणमा, यस अवस्थामा, लोडरलाई डाउनलोडर सुरु गर्नको लागि प्रयोग गर्दछ, जसले C&C सर्भरमा Deuterbear RAT ल्याउनको लागि जडान गर्दछ, एक मध्यस्थ जसले DLL साइड-लोडिङ मार्फत दोस्रो-चरण लोडर मार्फत दृढता स्थापित गर्न सेवा गर्दछ। यो लोडर अन्ततः डाउनलोडर कार्यान्वयन गर्न जिम्मेवार हुन्छ, जसले सूचना चोरीको लागि C&C सर्भरबाट Deuterbear RAT लाई फेरि डाउनलोड गर्छ।

धेरैजसो संक्रमित प्रणालीहरूमा, दोस्रो चरणको Deuterbear मात्र उपलब्ध छ। पहिलो चरणको Deuterbear का सबै कम्पोनेन्टहरू 'पर्सिस्टेन्स इन्स्टलेशन' पूरा भएपछि पूर्ण रूपमा हटाइन्छ।

Deuterbear RAT यसको पूर्ववर्तीबाट अलग रूपमा विकसित हुन सक्छ

यो रणनीतिले आक्रमणकारीहरूको ट्र्याकलाई प्रभावकारी रूपमा अस्पष्ट बनाउँछ र खतरा अनुसन्धानकर्ताहरूलाई ड्युटरबियर मालवेयरको विश्लेषण गर्न गाह्रो बनाउँछ, विशेष गरी सिमुलेटेड वातावरणमा, वास्तविक पीडित प्रणालीहरूको सट्टा।

Deuterbear RAT यसको पूर्ववर्ती को एक अधिक सुव्यवस्थित संस्करण हो, केवल आदेश को एक उपसमूह कायम राख्दै र यसको कार्यक्षमता विस्तार गर्न प्लगइन-आधारित दृष्टिकोण अपनाउने। वाटरबियर निरन्तर विकास हुँदै आएको छ, जसले अन्ततः Deuterbear को विकासको लागि नेतृत्व गर्यो। चाखलाग्दो कुरा के छ भने, दुवै वाटरबियर र ड्युटरबियर स्वतन्त्र रूपमा विकसित भइरहेका छन्, एकले अर्कोलाई प्रतिस्थापन गर्नुको सट्टा।