Deuterbear RAT
Cybersecurity-onderzoekers hebben nieuwe inzichten opgeleverd in Deuterbear, een Remote Access Trojan (RAT) die wordt gebruikt door de aan China gelinkte BlackTech- hackgroep in een recente cyberspionagecampagne gericht op de regio Azië-Pacific.
De Deuterbear RAT lijkt op een voorheen schadelijk hulpmiddel dat door de groep werd gebruikt, bekend als Waterbear. Het biedt echter aanzienlijke verbeteringen, waaronder ondersteuning voor shellcode-plug-ins, werking zonder handshakes en het gebruik van HTTPS voor command-and-control (C&C)-communicatie. In tegenstelling tot Waterbear gebruikt Deuterbear een shellcode-formaat, bevat het anti-geheugenscantechnieken en deelt het een verkeerssleutel met zijn downloader.
Inhoudsopgave
BlackTech heeft zijn arsenaal aan bedreigende tools bijgewerkt
BlackTech is actief sinds minstens 2007 en is in de cyberbeveiligingsgemeenschap bekend onder verschillende namen, waaronder Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn en Temp.Overboard.
Al bijna 15 jaar maakt de groep veelvuldig gebruik van de Waterbear-malware (ook bekend als DBGPRINT) bij hun cyberaanvallen. Sinds oktober 2022 bevatten hun campagnes echter een bijgewerkte versie van deze malware genaamd Deuterbear.
De infectieketen die door BackTech wordt gebruikt voor de levering van de Waterbear-malware
Waterbear wordt aan de beoogde apparaten geleverd via een gepatcht legitiem uitvoerbaar bestand, dat gebruik maakt van DLL side-loading om een lader te starten. Deze lader decodeert vervolgens en voert een downloader uit, die contact maakt met een Command-and-Control (C&C)-server om de RAT-module op te halen.
Interessant is dat de RAT-module tweemaal wordt opgehaald uit de door de aanvaller gecontroleerde infrastructuur. Bij de eerste ophaalactie wordt een Waterbear-plug-in geladen, die het systeem verder in gevaar brengt door een andere versie van de Waterbear-downloader te starten om de RAT-module van een andere C&C-server op te halen.
Met andere woorden: de eerste Waterbear RAT fungeert als een plug-in-downloader, terwijl de tweede Waterbear RAT als achterdeur fungeert en gevoelige informatie van de getroffen host verzamelt met behulp van een set van 60 opdrachten.
De Deuterbear RAT vertrouwt op aangepaste infectietactieken om de apparaten van slachtoffers in gevaar te brengen
Het infectietraject voor Deuterbear lijkt sterk op dat van Waterbear, omdat het ook twee fasen implementeert om de RAT-achterdeurcomponent te installeren. Toch past het het ook tot op zekere hoogte aan.
In de eerste fase wordt in dit geval de lader gebruikt om een downloader te starten, die verbinding maakt met de C&C-server om Deuterbear RAT op te halen, een tussenpersoon die dient om persistentie tot stand te brengen via een tweede fase lader via DLL-side-loading. Deze lader is uiteindelijk verantwoordelijk voor het uitvoeren van een downloader, die opnieuw de Deuterbear RAT downloadt van een C&C-server voor informatiediefstal.
In de meeste geïnfecteerde systemen is alleen de tweede fase Deuterbear beschikbaar. Alle componenten van de eerste trap Deuterbear worden volledig verwijderd nadat de 'persistentie-installatie' is voltooid.
De Deuterbear RAT evolueert mogelijk afzonderlijk van zijn voorganger
Deze strategie verbergt effectief de sporen van de aanvallers en maakt het voor bedreigingsonderzoekers moeilijk om de Deuterbear-malware te analyseren, vooral in gesimuleerde omgevingen, in plaats van in daadwerkelijke slachtoffersystemen.
De Deuterbear RAT is een meer gestroomlijnde versie van zijn voorganger, die slechts een subset van opdrachten behoudt en een op plug-ins gebaseerde aanpak hanteert om de functionaliteit uit te breiden. Waterbear heeft een voortdurende evolutie ondergaan, wat uiteindelijk heeft geleid tot de ontwikkeling van Deuterbear. Interessant is dat zowel Waterbear als Deuterbear onafhankelijk blijven evolueren, in plaats van dat de een de ander alleen maar vervangt.
