Дейтермедведь КРЫСА
Исследователи кибербезопасности предоставили новую информацию о Deuterbear, трояне удаленного доступа (RAT), используемом связанной с Китаем хакерской группой BlackTech в недавней кампании кибершпионажа, нацеленной на Азиатско-Тихоокеанский регион.
Крыса Deuterbear напоминает ранее вредоносный инструмент, используемый группой, известной как Waterbear. Тем не менее, он имеет значительные улучшения, включая поддержку плагинов шеллкода, работу без рукопожатий и использование HTTPS для связи командования и управления (C&C). В отличие от Waterbear, Deuterbear использует формат шелл-кода, включает в себя методы сканирования памяти и разделяет ключ трафика со своим загрузчиком.
Оглавление
BlackTech обновляет свой арсенал угрожающих инструментов
Компания BlackTech, действующая как минимум с 2007 года, известна в сообществе кибербезопасности под разными именами, включая Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard.
На протяжении почти 15 лет группа часто использовала вредоносное ПО Waterbear (также известное как DBGPRINT) в своих кибератаках. Однако с октября 2022 года в их кампаниях используется обновленная версия вредоносного ПО под названием Deuterbear.
Цепочка заражения, используемая BackTech для доставки вредоносного ПО Waterbear
Waterbear доставляется на целевые устройства через исправленный легитимный исполняемый файл, который использует неопубликованную загрузку DLL для запуска загрузчика. Затем этот загрузчик расшифровывает и запускает загрузчик, который связывается с сервером управления и контроля (C&C) для получения модуля RAT.
Интересно, что модуль RAT дважды извлекается из инфраструктуры, контролируемой злоумышленником. Первая выборка загружает плагин Waterbear, который еще больше компрометирует систему, запуская другую версию загрузчика Waterbear для получения модуля RAT с другого C&C-сервера.
Другими словами, первоначальная RAT Waterbear действует как загрузчик плагинов, а вторая RAT Waterbear действует как бэкдор, собирающий конфиденциальную информацию со скомпрометированного хоста с помощью набора из 60 команд.
Крыса Deuterbear использует модифицированную тактику заражения для компрометации устройств жертв
Путь заражения Deuterbear очень похож на путь заражения Waterbear, поскольку он также реализует два этапа установки компонента бэкдора RAT. Тем не менее, это также в некоторой степени меняет его.
В этом случае на первом этапе загрузчик используется для запуска загрузчика, который подключается к C&C-серверу для получения Deuterbear RAT, посредника, который служит для установления персистентности через загрузчик второго этапа посредством боковой загрузки DLL. Этот загрузчик в конечном итоге отвечает за выполнение загрузчика, который снова загружает Deuterbear RAT с C&C-сервера для кражи информации.
В большинстве зараженных систем доступен только Deuterbear второй ступени. Все компоненты первой ступени Deuterbear полностью удаляются после завершения «постоянной установки».
Крыса-Дейтермедведь может развиваться отдельно от своего предшественника
Эта стратегия эффективно скрывает следы злоумышленников и затрудняет исследователям угроз анализ вредоносного ПО Deuterbear, особенно в смоделированных средах, а не в реальных системах-жертвах.
Deuterbear RAT — это более оптимизированная версия своего предшественника, сохранившая лишь подмножество команд и использующая подход на основе плагинов для расширения своей функциональности. Waterbear претерпел непрерывную эволюцию, которая в конечном итоге привела к развитию Deuterbear. Интересно, что и Waterbear, и Deuterbear продолжают развиваться независимо, а не просто заменяют один другого.
