Deuterbear RAT
Cercetătorii în domeniul securității cibernetice au oferit noi perspective asupra Deuterbear, un troian de acces la distanță (RAT) angajat de grupul de hacking BlackTech , legat de China, într-o campanie recentă de spionaj cibernetic care vizează regiunea Asia-Pacific.
Deuterbear RAT seamănă cu un instrument dăunător folosit anterior de grup, cunoscut sub numele de Waterbear. Cu toate acestea, oferă îmbunătățiri semnificative, inclusiv suport pentru pluginuri shellcode, operare fără strângere de mână și utilizarea HTTPS pentru comunicarea de comandă și control (C&C). Spre deosebire de Waterbear, Deuterbear folosește un format shellcode, încorporează tehnici de scanare anti-memorie și partajează o cheie de trafic cu descărcatorul său.
Cuprins
BlackTech și-a actualizat arsenalul de instrumente amenințătoare
Activ din 2007, BlackTech este cunoscut în comunitatea de securitate cibernetică sub diferite nume, inclusiv Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn și Temp.Overboard.
Timp de aproape 15 ani, grupul a folosit frecvent malware-ul Waterbear (cunoscut și ca DBGPRINT) în atacurile lor cibernetice. Cu toate acestea, din octombrie 2022, campaniile lor au prezentat o versiune actualizată a acestui malware numită Deuterbear.
Lanțul de infecție utilizat de BackTech pentru livrarea malware-ului Waterbear
Waterbear este livrat dispozitivelor vizate printr-un executabil legitim corecţionat, care utilizează încărcarea secundară DLL pentru a lansa un încărcător. Acest încărcător decriptează apoi și execută un descărcator, care contactează un server de comandă și control (C&C) pentru a prelua modulul RAT.
Interesant este că modulul RAT este preluat de două ori din infrastructura controlată de atacator. Prima preluare încarcă un plugin Waterbear, care compromite și mai mult sistemul prin lansarea unei versiuni diferite a programului de descărcare Waterbear pentru a prelua modulul RAT de pe un alt server C&C.
Cu alte cuvinte, Waterbear RAT inițial acționează ca un descărcator de pluginuri, în timp ce al doilea Waterbear RAT funcționează ca o ușă în spate, colectând informații sensibile de la gazda compromisă folosind un set de 60 de comenzi.
Deuterbear RAT se bazează pe tactici de infecție modificate pentru a compromite dispozitivele victimelor
Calea de infecție pentru Deuterbear este foarte asemănătoare cu cea a Waterbear prin faptul că implementează, de asemenea, două etape pentru a instala componenta backdoor RAT. Totuși, îl modifică și într-o oarecare măsură.
Prima etapă, în acest caz, folosește încărcătorul pentru a lansa un descărcator, care se conectează la serverul C&C pentru a prelua Deuterbear RAT, un intermediar care servește la stabilirea persistenței printr-un încărcător din a doua etapă prin încărcare laterală DLL. Acest încărcător este în cele din urmă responsabil pentru executarea unui descărcator, care descarcă din nou Deuterbear RAT de pe un server C&C pentru furtul de informații.
În majoritatea sistemelor infectate, doar a doua etapă Deuterbear este disponibilă. Toate componentele primei etape Deuterbear sunt complet eliminate după finalizarea „instalării de persistență”.
Deuterbear RAT poate evolua separat de predecesorul său
Această strategie ascunde în mod eficient urmele atacatorilor și face dificilă pentru cercetătorii amenințărilor să analizeze malware-ul Deuterbear, în special în medii simulate, în loc de sistemele victimelor reale.
Deuterbear RAT este o versiune mai simplificată a predecesorului său, păstrând doar un subset de comenzi și adoptând o abordare bazată pe plugin pentru a-și extinde funcționalitatea. Ursul de apă a suferit o evoluție continuă, ducând în cele din urmă la dezvoltarea lui Deuterbear. Interesant este că atât Waterbear, cât și Deuterbear continuă să evolueze independent, mai degrabă decât unul să-l înlocuiască pe celălalt.
