Miu i përtërirë
Studiuesit e sigurisë kibernetike kanë ofruar njohuri të reja për Deuterbear, një Trojan me Qasje në Distanca (RAT) i përdorur nga grupi i hakerëve BlackTech i lidhur me Kinën në një fushatë të fundit të spiunazhit kibernetik që synon rajonin Azi-Paqësor.
Deuterbear RAT i ngjan një mjeti të dëmshëm të përdorur më parë nga grupi, i njohur si Waterbear. Megjithatë, ai përmban përmirësime të rëndësishme, duke përfshirë mbështetjen për shtojcat e kodit të guaskës, funksionimin pa shtrëngime duarsh dhe përdorimin e HTTPS për komunikimin e komandës dhe kontrollit (C&C). Ndryshe nga Waterbear, Deuterbear përdor një format shellcode, përfshin teknika të skanimit kundër kujtesës dhe ndan një çelës trafiku me shkarkuesin e tij.
Tabela e Përmbajtjes
BlackTech ka përditësuar arsenalin e saj të mjeteve kërcënuese
Aktive që prej të paktën 2007, BlackTech është njohur në komunitetin e sigurisë kibernetike me emra të ndryshëm, duke përfshirë Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn dhe Temp.Overboard.
Për gati 15 vjet, grupi ka përdorur shpesh malware-in Waterbear (i njohur edhe si DBGPRINT) në sulmet e tyre kibernetike. Megjithatë, që nga tetori 2022, fushatat e tyre kanë paraqitur një version të përditësuar të këtij malware të quajtur Deuterbear.
Zinxhiri i Infeksionit i përdorur nga BackTech për shpërndarjen e malware-it Waterbear
Waterbear u dorëzohet pajisjeve të synuara nëpërmjet një ekzekutuesi legjitim të rregulluar, i cili përdor ngarkimin anësor DLL për të nisur një ngarkues. Ky ngarkues më pas deshifron dhe ekzekuton një shkarkues, i cili kontakton një server Command-and-Control (C&C) për të marrë modulin RAT.
Është interesante që moduli RAT merret dy herë nga infrastruktura e kontrolluar nga sulmuesi. Marrja e parë ngarkon një shtojcë Waterbear, e cila komprometon më tej sistemin duke lëshuar një version tjetër të shkarkuesit Waterbear për të marrë modulin RAT nga një server tjetër C&C.
Me fjalë të tjera, Waterbear RAT fillestar vepron si një shkarkues i shtojcave, ndërsa i dyti Waterbear RAT funksionon si një derë e pasme, duke mbledhur informacione të ndjeshme nga hosti i komprometuar duke përdorur një grup prej 60 komandash.
RAT Deuterbear mbështetet në taktikat e modifikuara të infeksionit për të komprometuar pajisjet e viktimave
Rruga e infeksionit për Deuterbear është shumë e ngjashme me atë të Waterbear në atë që zbaton gjithashtu dy faza për të instaluar komponentin e pasme RAT. Megjithatë, ai gjithashtu e ndryshon atë në një farë mase.
Faza e parë, në këtë rast, përdor ngarkuesin për të nisur një shkarkues, i cili lidhet me serverin C&C për të marrë Deuterbear RAT, një ndërmjetës që shërben për të vendosur qëndrueshmërinë përmes një ngarkuesi të fazës së dytë nëpërmjet ngarkimit anësor DLL. Ky ngarkues është në fund të fundit përgjegjës për ekzekutimin e një shkarkuesi, i cili përsëri shkarkon Deuterbear RAT nga një server C&C për vjedhjen e informacionit.
Në shumicën e sistemeve të infektuara, vetëm faza e dytë Deuterbear është e disponueshme. Të gjithë komponentët e fazës së parë Deuterbear hiqen plotësisht pasi të përfundojë 'instalimi i qëndrueshëm'.
RAT Deuterbear mund të jetë duke u zhvilluar ndaras nga paraardhësi i tij
Kjo strategji errëson në mënyrë efektive gjurmët e sulmuesve dhe e bën të vështirë për studiuesit e kërcënimeve që të analizojnë malware-in Deuterbear, veçanërisht në mjedise të simuluara, në vend të sistemeve aktuale të viktimave.
Deuterbear RAT është një version më i efektshëm i paraardhësit të tij, duke mbajtur vetëm një nëngrup komandash dhe duke miratuar një qasje të bazuar në shtojca për të zgjeruar funksionalitetin e tij. Waterbear ka pësuar evolucion të vazhdueshëm, duke çuar përfundimisht në zhvillimin e Deuterbear. Është interesante se si Waterbear ashtu edhe Deuterbear vazhdojnë të evoluojnë në mënyrë të pavarur, në vend që njëri thjesht të zëvendësojë tjetrin.
