Deuterbear RAT
Raziskovalci kibernetske varnosti so zagotovili nove vpoglede v Deuterbear, trojanca za oddaljeni dostop (RAT), ki ga uporablja hekerska skupina BlackTech , povezana s Kitajsko, v nedavni kampanji kibernetskega vohunjenja, usmerjene v azijsko-pacifiško regijo.
Deuterbear RAT je podoben prej škodljivemu orodju, ki ga je uporabljala skupina, znana kot Waterbear. Vseeno pa vsebuje znatne izboljšave, vključno s podporo za vtičnike shellcode, delovanje brez rokovanja in uporabo HTTPS za komunikacijo ukazov in nadzora (C&C). Za razliko od Waterbear, Deuterbear uporablja obliko shellcode, vključuje tehnike skeniranja proti pomnilniku in deli prometni ključ s svojim prenosnikom.
Kazalo
BlackTech je posodabljal svoj arzenal orodij za grožnje
BlackTech, ki deluje vsaj od leta 2007, je v skupnosti kibernetske varnosti znan pod različnimi imeni, vključno s Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn in Temp.Overboard.
Skoraj 15 let je skupina v svojih kibernetskih napadih pogosto uporabljala zlonamerno programsko opremo Waterbear (znano tudi kot DBGPRINT). Vendar od oktobra 2022 njihove kampanje vsebujejo posodobljeno različico te zlonamerne programske opreme, imenovano Deuterbear.
Veriga okužbe, ki jo uporablja BackTech za dostavo zlonamerne programske opreme Waterbear
Waterbear je dostavljen ciljnim napravam prek popravljene zakonite izvedljive datoteke, ki za zagon nalagalnika uporablja stransko nalaganje DLL. Ta nalagalnik nato dešifrira in izvede nalagalnik, ki vzpostavi stik s strežnikom za ukazovanje in nadzor (C&C), da pridobi modul RAT.
Zanimivo je, da se modul RAT dvakrat pridobi iz infrastrukture, ki jo nadzoruje napadalec. Prvo pridobivanje naloži vtičnik Waterbear, ki dodatno ogrozi sistem z zagonom druge različice prenosnika Waterbear za pridobitev modula RAT iz drugega strežnika C&C.
Z drugimi besedami, začetni Waterbear RAT deluje kot prenosnik vtičnikov, medtem ko drugi Waterbear RAT deluje kot stranska vrata in zbira občutljive informacije od ogroženega gostitelja z uporabo niza 60 ukazov.
Deuterbear RAT se opira na spremenjeno taktiko okužbe, da ogrozi naprave žrtev
Pot okužbe za Deuterbear je zelo podobna poti za Waterbear, saj prav tako izvaja dve stopnji za namestitev komponente backdoor RAT. Kljub temu ga do neke mere tudi prilagodi.
Prva stopnja v tem primeru uporablja nalagalnik za zagon nalagalnika, ki se poveže s strežnikom C&C, da pridobi Deuterbear RAT, posrednika, ki služi za vzpostavitev obstojnosti prek nalagalnika druge stopnje prek stranskega nalaganja DLL. Ta nalagalnik je v končni fazi odgovoren za izvajanje nalagalnika, ki ponovno prenese Deuterbear RAT s strežnika C&C za krajo informacij.
V večini okuženih sistemov je na voljo le druga stopnja Deuterbear. Vse komponente prve stopnje Deuterbearja so popolnoma odstranjene, ko je "vztrajna namestitev" končana.
Deuterbear RAT se morda razvija ločeno od svojega predhodnika
Ta strategija učinkovito zakriva sledi napadalcem in raziskovalcem groženj otežuje analizo zlonamerne programske opreme Deuterbear, zlasti v simuliranih okoljih, namesto dejanskih sistemov žrtev.
Deuterbear RAT je bolj poenostavljena različica svojega predhodnika, ki ohranja samo podnabor ukazov in uporablja pristop, ki temelji na vtičnikih, za razširitev njegove funkcionalnosti. Waterbear se je nenehno razvijal, kar je na koncu pripeljalo do razvoja Deuterbearja. Zanimivo je, da se oba, Waterbear in Deuterbear, še naprej razvijata neodvisno, namesto da eden zgolj nadomešča drugega.
