Deuterbear RAT
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਤਾਜ਼ਾ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਵਿੱਚ ਚੀਨ ਨਾਲ ਜੁੜੇ ਬਲੈਕਟੈਕ ਹੈਕਿੰਗ ਸਮੂਹ ਦੁਆਰਾ ਨਿਯੁਕਤ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਡਿਊਟਰਬੀਅਰ ਵਿੱਚ ਨਵੀਂ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕੀਤੀ ਹੈ।
Deuterbear RAT ਗਰੁੱਪ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਪੁਰਾਣੇ ਨੁਕਸਾਨਦੇਹ ਟੂਲ ਵਰਗਾ ਹੈ, ਜਿਸਨੂੰ ਵਾਟਰਬੀਅਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ੈੱਲਕੋਡ ਪਲੱਗਇਨਾਂ ਲਈ ਸਮਰਥਨ, ਹੈਂਡਸ਼ੇਕ ਤੋਂ ਬਿਨਾਂ ਸੰਚਾਲਨ, ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸੰਚਾਰ ਲਈ HTTPS ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਵਾਟਰਬੀਅਰ ਦੇ ਉਲਟ, ਡਿਊਟਰਬੀਅਰ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਫਾਰਮੈਟ ਵਰਤਦਾ ਹੈ, ਐਂਟੀ-ਮੈਮੋਰੀ ਸਕੈਨਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਸਦੇ ਡਾਊਨਲੋਡਰ ਨਾਲ ਇੱਕ ਟ੍ਰੈਫਿਕ ਕੁੰਜੀ ਸਾਂਝੀ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਬਲੈਕਟੈਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਾਧਨਾਂ ਦੇ ਆਪਣੇ ਅਸਲਾ ਨੂੰ ਅਪਡੇਟ ਕਰ ਰਿਹਾ ਹੈ
ਘੱਟੋ-ਘੱਟ 2007 ਤੋਂ ਸਰਗਰਮ, ਬਲੈਕਟੈਕ ਨੂੰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਨਾਵਾਂ ਨਾਲ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਰਕਟ ਪਾਂਡਾ, ਅਰਥ ਹੁੰਡਨ, ਹੁਏਪੀਆਈ, ਮੰਗਾ ਟੌਰਸ, ਪਾਮਰਵਰਮ, ਰੈੱਡ ਡਿਜਿਨ, ਅਤੇ ਟੈਂਪ ਓਵਰਬੋਰਡ ਸ਼ਾਮਲ ਹਨ।
ਲਗਭਗ 15 ਸਾਲਾਂ ਤੋਂ, ਸਮੂਹ ਨੇ ਅਕਸਰ ਆਪਣੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਵਾਟਰਬੀਅਰ ਮਾਲਵੇਅਰ (ਜਿਸਨੂੰ DBGPRINT ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਹਾਲਾਂਕਿ, ਅਕਤੂਬਰ 2022 ਤੋਂ, ਉਨ੍ਹਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਅਪਡੇਟ ਕੀਤਾ ਸੰਸਕਰਣ ਹੈ ਜਿਸਨੂੰ Deuterbear ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਵਾਟਰਬੀਅਰ ਮਾਲਵੇਅਰ ਦੀ ਡਿਲਿਵਰੀ ਲਈ ਬੈਕਟੈਕ ਦੁਆਰਾ ਵਰਤੀ ਗਈ ਇਨਫੈਕਸ਼ਨ ਚੇਨ
ਵਾਟਰਬੀਅਰ ਨੂੰ ਇੱਕ ਪੈਚ ਕੀਤੇ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਡਿਵਾਈਸਾਂ ਨੂੰ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਇੱਕ ਲੋਡਰ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਫਿਰ ਇੱਕ ਡਾਉਨਲੋਡਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ RAT ਮੋਡੀਊਲ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ।
ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, RAT ਮੋਡੀਊਲ ਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਦੋ ਵਾਰ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ. ਪਹਿਲੀ ਪ੍ਰਾਪਤੀ ਇੱਕ ਵਾਟਰਬੀਅਰ ਪਲੱਗਇਨ ਨੂੰ ਲੋਡ ਕਰਦੀ ਹੈ, ਜੋ ਹੋਰ C&C ਸਰਵਰ ਤੋਂ RAT ਮੋਡੀਊਲ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਾਟਰਬੀਅਰ ਡਾਊਨਲੋਡਰ ਦਾ ਇੱਕ ਵੱਖਰਾ ਸੰਸਕਰਣ ਲਾਂਚ ਕਰਕੇ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ।
ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, ਸ਼ੁਰੂਆਤੀ ਵਾਟਰਬੀਅਰ ਆਰਏਟੀ ਇੱਕ ਪਲੱਗਇਨ ਡਾਉਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਵਾਟਰਬੀਅਰ ਆਰਏਟੀ ਇੱਕ ਬੈਕਡੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, 60 ਕਮਾਂਡਾਂ ਦੇ ਇੱਕ ਸੈੱਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ।
Deuterbear RAT ਪੀੜਤਾਂ ਦੇ ਉਪਕਰਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਸੰਸ਼ੋਧਿਤ ਸੰਕਰਮਣ ਰਣਨੀਤੀਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ
Deuterbear ਲਈ ਲਾਗ ਮਾਰਗ ਵਾਟਰਬੀਅਰ ਦੇ ਸਮਾਨ ਹੈ ਕਿਉਂਕਿ ਇਹ RAT ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਦੋ ਪੜਾਵਾਂ ਨੂੰ ਵੀ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਫਿਰ ਵੀ, ਇਹ ਕੁਝ ਹੱਦ ਤੱਕ ਇਸ ਨੂੰ ਵੀ ਬਦਲਦਾ ਹੈ.
ਪਹਿਲਾ ਪੜਾਅ, ਇਸ ਕੇਸ ਵਿੱਚ, ਇੱਕ ਡਾਉਨਲੋਡਰ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਲੋਡਰ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਜੋ ਡੀਯੂਟਰਬੀਅਰ ਆਰਏਟੀ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ C&C ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ, ਇੱਕ ਵਿਚੋਲਾ ਜੋ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਲੋਡਰ ਦੁਆਰਾ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਆਖਰਕਾਰ ਇੱਕ ਡਾਊਨਲੋਡਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਜੋ ਕਿ ਜਾਣਕਾਰੀ ਦੀ ਚੋਰੀ ਲਈ C&C ਸਰਵਰ ਤੋਂ Deuterbear RAT ਨੂੰ ਦੁਬਾਰਾ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਜ਼ਿਆਦਾਤਰ ਸੰਕਰਮਿਤ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ, ਸਿਰਫ ਦੂਜੀ ਸਟੇਜ ਡਿਊਟਰਬੀਅਰ ਉਪਲਬਧ ਹੈ। ਡਿਊਟਰਬੀਅਰ ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਦੇ ਸਾਰੇ ਭਾਗਾਂ ਨੂੰ 'ਸਥਾਈ ਸਥਾਪਨਾ' ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ ਪੂਰੀ ਤਰ੍ਹਾਂ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
Deuterbear RAT ਆਪਣੇ ਪੂਰਵਜ ਤੋਂ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੋ ਸਕਦਾ ਹੈ
ਇਹ ਰਣਨੀਤੀ ਹਮਲਾਵਰਾਂ ਦੇ ਟਰੈਕਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਅਸਪਸ਼ਟ ਕਰਦੀ ਹੈ ਅਤੇ ਧਮਕੀ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਅਸਲ ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਬਜਾਏ, ਖਾਸ ਤੌਰ 'ਤੇ ਸਿਮੂਲੇਟਿਡ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ, ਡਿਊਟਰਬੀਅਰ ਮਾਲਵੇਅਰ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੀ ਹੈ।
Deuterbear RAT ਆਪਣੇ ਪੂਰਵਵਰਤੀ ਦਾ ਇੱਕ ਵਧੇਰੇ ਸੁਚਾਰੂ ਸੰਸਕਰਣ ਹੈ, ਸਿਰਫ ਕਮਾਂਡਾਂ ਦੇ ਇੱਕ ਉਪ ਸਮੂਹ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ ਅਤੇ ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਇੱਕ ਪਲੱਗਇਨ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਅਪਣਾ ਰਿਹਾ ਹੈ। ਵਾਟਰਬੀਅਰ ਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ ਹੋਇਆ ਹੈ, ਅੰਤ ਵਿੱਚ ਡਿਊਟਰਬੀਅਰ ਦੇ ਵਿਕਾਸ ਵੱਲ ਅਗਵਾਈ ਕਰਦਾ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, ਵਾਟਰਬੀਅਰ ਅਤੇ ਡਿਊਟਰਬੀਅਰ ਦੋਵੇਂ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੁੰਦੇ ਰਹਿੰਦੇ ਹਨ, ਨਾ ਕਿ ਸਿਰਫ਼ ਇੱਕ ਦੂਜੇ ਦੀ ਥਾਂ ਲੈਣ ਦੀ।