Deuterbear SZCZUR
Badacze zajmujący się cyberbezpieczeństwem przedstawili nowe informacje na temat Deuterbear, trojana zdalnego dostępu (RAT) wykorzystywanego przez powiązaną z Chinami grupę hakerską BlackTech w niedawnej kampanii cyberszpiegowskiej wymierzonej w region Azji i Pacyfiku.
Deuterbear RAT przypomina wcześniej szkodliwe narzędzie używane przez grupę, znane jako Waterbear. Zawiera jednak znaczące ulepszenia, w tym obsługę wtyczek z kodem powłoki, działanie bez uzgadniania i wykorzystanie protokołu HTTPS do komunikacji typu Command-and-Control (C&C). W przeciwieństwie do Waterbear, Deuterbear wykorzystuje format kodu powłoki, wykorzystuje techniki skanowania chroniącego pamięć i udostępnia klucz ruchu swojemu modułowi pobierania.
Spis treści
BlackTech aktualizuje swój arsenał groźnych narzędzi
Aktywny od co najmniej 2007 roku BlackTech jest znany w społeczności cyberbezpieczeństwa pod różnymi nazwami, w tym Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn i Temp.Overboard.
Od prawie 15 lat grupa często wykorzystuje w swoich cyberatakach szkodliwe oprogramowanie Waterbear (znane również jako DBGPRINT). Jednak od października 2022 r. w ich kampaniach pojawia się zaktualizowana wersja tego szkodliwego oprogramowania o nazwie Deuterbear.
Łańcuch infekcji wykorzystywany przez BackTech do dostarczania złośliwego oprogramowania Waterbear
Waterbear jest dostarczany na docelowe urządzenia za pośrednictwem załatanego, legalnego pliku wykonywalnego, który wykorzystuje boczne ładowanie biblioteki DLL w celu uruchomienia modułu ładującego. Następnie ten moduł ładujący odszyfrowuje i uruchamia moduł pobierania, który kontaktuje się z serwerem dowodzenia i kontroli (C&C) w celu pobrania modułu RAT.
Co ciekawe, moduł RAT jest pobierany dwukrotnie z infrastruktury kontrolowanej przez atakującego. Pierwsze pobranie ładuje wtyczkę Waterbear, co jeszcze bardziej zagraża systemowi, uruchamiając inną wersję narzędzia do pobierania Waterbear w celu pobrania modułu RAT z innego serwera kontroli.
Innymi słowy, początkowy Waterbear RAT działa jako narzędzie do pobierania wtyczek, podczas gdy drugi Waterbear RAT działa jako backdoor, zbierając poufne informacje od zaatakowanego hosta za pomocą zestawu 60 poleceń.
Deuterbear RAT wykorzystuje zmodyfikowane taktyki infekcji, aby włamać się do urządzeń ofiar
Ścieżka infekcji Deuterbeara jest bardzo podobna do ścieżki Waterbeara, ponieważ obejmuje również dwa etapy instalacji komponentu backdoora RAT. Mimo to w pewnym stopniu go udoskonala.
W tym przypadku pierwszy etap wykorzystuje moduł ładujący do uruchomienia modułu pobierania, który łączy się z serwerem C&C w celu pobrania Deuterbear RAT, pośrednika, który służy do ustalenia trwałości za pomocą modułu ładującego drugiego etapu poprzez boczne ładowanie biblioteki DLL. Ten moduł ładujący jest ostatecznie odpowiedzialny za uruchomienie modułu pobierającego, który ponownie pobiera Deuterbear RAT z serwera kontroli i kontroli w celu kradzieży informacji.
W większości zainfekowanych systemów dostępny jest tylko drugi etap Deuterbear. Wszystkie komponenty pierwszego stopnia Deuterbear są całkowicie usuwane po zakończeniu „instalacji trwałej”.
Deuterbear RAT może ewoluować niezależnie od swojego poprzednika
Strategia ta skutecznie zaciera ślady atakujących i utrudnia badaczom zagrożeń analizę szkodliwego oprogramowania Deuterbear, zwłaszcza w symulowanych środowiskach, a nie w rzeczywistych systemach ofiary.
Deuterbear RAT jest usprawnioną wersją swojego poprzednika, zachowującą jedynie podzbiór poleceń i przyjmującą podejście oparte na wtyczkach w celu rozszerzenia swojej funkcjonalności. Waterbear podlegał ciągłej ewolucji, która ostatecznie doprowadziła do rozwoju Deuterbeara. Co ciekawe, zarówno Waterbear, jak i Deuterbear nadal ewoluują niezależnie, a nie jeden po prostu zastępuje drugiego.
