Deuterbear RAT
Výskumníci v oblasti kybernetickej bezpečnosti poskytli nový pohľad na Deuterbear, trójsky kôň so vzdialeným prístupom (RAT), ktorý využíva hackerská skupina BlackTech napojená na Čínu v nedávnej kybernetickej špionážnej kampani zameranej na ázijsko-pacifický región.
Deuterbear RAT pripomína predtým škodlivý nástroj používaný skupinou, známy ako Waterbear. Vyznačuje sa však významnými vylepšeniami, vrátane podpory zásuvných modulov shellcode, prevádzky bez handshake a použitia HTTPS na komunikáciu príkazov a riadení (C&C). Na rozdiel od Waterbear používa Deuterbear formát shell kódu, zahŕňa techniky skenovania pamäte a zdieľa dopravný kľúč so svojim downloaderom.
Obsah
BlackTech aktualizoval svoj arzenál hrozivých nástrojov
BlackTech, aktívny minimálne od roku 2007, je v komunite kybernetickej bezpečnosti známy pod rôznymi menami, vrátane Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn a Temp.Overboard.
Už takmer 15 rokov skupina často používa malvér Waterbear (známy aj ako DBGPRINT) pri svojich kybernetických útokoch. Od októbra 2022 však ich kampane obsahovali aktualizovanú verziu tohto malvéru s názvom Deuterbear.
Infekčný reťazec využívaný spoločnosťou BackTech na dodávanie škodlivého softvéru Waterbear
Waterbear sa do cieľových zariadení dodáva prostredníctvom opraveného legitímneho spustiteľného súboru, ktorý na spustenie zavádzača používa bočné načítanie DLL. Tento zavádzač potom dešifruje a spustí downloader, ktorý kontaktuje server Command-and-Control (C&C), aby získal modul RAT.
Zaujímavosťou je, že modul RAT je stiahnutý dvakrát z infraštruktúry kontrolovanej útočníkom. Prvé načítanie načíta doplnok Waterbear, ktorý ďalej ohrozuje systém spustením inej verzie sťahovača Waterbear na získanie modulu RAT z iného servera C&C.
Inými slovami, prvý Waterbear RAT funguje ako sťahovanie zásuvných modulov, zatiaľ čo druhý Waterbear RAT funguje ako zadné vrátka, ktoré zhromažďuje citlivé informácie od napadnutého hostiteľa pomocou sady 60 príkazov.
Deuterbear RAT sa spolieha na upravenú taktiku infekcie, aby kompromitovala zariadenia obetí
Infekčná cesta pre Deuterbear je veľmi podobná dráhe Waterbear v tom, že tiež implementuje dve fázy inštalácie komponentu RAT backdoor. Napriek tomu ho tiež do určitej miery vylepšuje.
Prvá fáza v tomto prípade využíva zavádzač na spustenie sťahovacieho programu, ktorý sa pripája k serveru C&C, aby získal Deuterbear RAT, sprostredkovateľa, ktorý slúži na vytvorenie perzistencie prostredníctvom zavádzača druhej fázy prostredníctvom bočného načítania DLL. Tento zavádzač je v konečnom dôsledku zodpovedný za spustenie sťahovacieho programu, ktorý opäť stiahne Deuterbear RAT zo servera C&C na krádež informácií.
Vo väčšine infikovaných systémov je k dispozícii iba druhý stupeň Deuterbear. Všetky komponenty prvého stupňa Deuterbear sú úplne odstránené po dokončení „perzistentnej inštalácie“.
Deuterbear RAT sa môže vyvíjať oddelene od svojho predchodcu
Táto stratégia účinne zakrýva stopy útočníkov a sťažuje výskumníkom hrozieb analýzu malvéru Deuterbear, najmä v simulovaných prostrediach, namiesto skutočných systémov obetí.
Deuterbear RAT je efektívnejšia verzia svojho predchodcu, ktorá si zachováva iba podmnožinu príkazov a využíva prístup založený na doplnkoch na rozšírenie svojej funkčnosti. Waterbear prešiel neustálym vývojom, ktorý nakoniec viedol k vývoju Deuterbear. Je zaujímavé, že Waterbear aj Deuterbear sa naďalej vyvíjajú nezávisle, namiesto toho, aby jeden iba nahrádzal druhý.
