Deuterbear RAT
Os pesquisadores de segurança cibernética forneceram novos insights sobre o Deuterbear, um Trojan de Acesso Remoto (RAT) empregado pelo grupo de hackers BlackTech, ligado à China, em uma recente campanha de espionagem cibernética visando a região da Ásia-Pacífico.
O Deuterbear RAT se assemelha a uma ferramenta anteriormente prejudicial usada pelo grupo, conhecida como Waterbear. No entanto, apresenta melhorias significativas, incluindo suporte para plug-ins de shellcode, operação sem handshakes e uso de HTTPS para comunicação de comando e controle (C&C). Ao contrário do Waterbear, o Deuterbear emprega um formato shellcode, incorpora técnicas de varredura anti-memória e compartilha uma chave de tráfego com seu downloader.
Índice
O BlackTech Tem Atualizado o Seu Arsenal de Ferramentas Ameaçadoras
Ativa pelo menos desde 2007, a BlackTech é conhecida na comunidade de segurança cibernética por vários nomes, incluindo Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Por quase 15 anos, o grupo usou frequentemente o malware Waterbear (também conhecido como DBGPRINT) em seus ataques cibernéticos. No entanto, desde outubro de 2022, as suas campanhas apresentam uma versão atualizada deste malware chamada Deuterbear.
A Cadeia de Infecção Utilizada pelo BackTech para a Entrega do Malware Waterbear
Waterbear é entregue aos dispositivos alvo por meio de um executável legítimo corrigido, que usa carregamento lateral de DLL para iniciar um carregador. Este carregador então descriptografa e executa um downloader, que entra em contato com um servidor de Comando e Controle (C&C) para recuperar o módulo RAT.
Curiosamente, o módulo RAT é obtido duas vezes na infraestrutura controlada pelo invasor. A primeira busca carrega um plugin Waterbear, que compromete ainda mais o sistema ao lançar uma versão diferente do downloader Waterbear para recuperar o módulo RAT de outro servidor C&C.
Em outras palavras, o Waterbear RAT inicial atua como um downloader de plugins, enquanto o segundo Waterbear RAT funciona como um backdoor, coletando informações confidenciais do host comprometido usando um conjunto de 60 comandos.
O Deuterbear RAT Depende de Táticas de Infecção Modificadas para Comprometer os Dispositivos das Vítimas
O caminho de infecção do Deuterbear é muito semelhante ao do Waterbear, pois também implementa dois estágios para instalar o componente backdoor RAT. Ainda assim, também o ajusta até certo ponto.
O primeiro estágio, neste caso, emprega o carregador para iniciar um downloader, que se conecta ao servidor C&C para buscar o Deuterbear RAT, um intermediário que serve para estabelecer persistência por meio de um carregador de segundo estágio por meio de carregamento lateral de DLL. Este carregador é o responsável final pela execução de um downloader, que novamente baixa o Deuterbear RAT de um servidor C&C para roubo de informações.
Na maioria dos sistemas infectados, apenas o segundo estágio do Deuterbear está disponível. Todos os componentes do primeiro estágio Deuterbear são totalmente removidos após a conclusão da 'instalação de persistência'.
O Deuterbear RAT pode estar Evoluindo Separadamente do Seu Antecessor
Essa estratégia obscurece efetivamente os rastros dos invasores e dificulta que os pesquisadores de ameaças analisem o malware Deuterbear, especialmente em ambientes simulados, em vez de sistemas reais de vítimas.
O Deuterbear RAT é uma versão mais simplificada de seu antecessor, mantendo apenas um subconjunto de comandos e adotando uma abordagem baseada em plugins para expandir sua funcionalidade. Waterbear passou por uma evolução contínua, levando ao desenvolvimento do Deuterbear. Curiosamente, tanto Waterbear quanto Deuterbear continuam a evoluir de forma independente, em vez de um meramente substituir o outro.
