Деутербеар РАТ
Истраживачи кибернетичке безбедности дали су нове увиде у Деутербеар, тројанац за даљински приступ (РАТ) који користи хакерска група БлацкТецх повезана са Кином у недавној кампањи сајбер шпијунаже која циља на азијско-пацифички регион.
Деутербеар РАТ подсећа на претходно штетно оруђе које је група користила, познато као Ватербеар. Међутим, има значајна побољшања, укључујући подршку за додатке за схеллцоде, рад без руковања и употребу ХТТПС-а за комуникацију наредбе и контроле (Ц&Ц). За разлику од Ватербеара, Деутербеар користи схеллцоде формат, укључује технике скенирања против меморије и дели саобраћајни кључ са својим преузимачем.
Преглед садржаја
БлацкТецх је ажурирао свој арсенал претећих алата
Активан од најмање 2007. године, БлацкТецх је познат у заједници сајбер безбедности под различитим именима, укључујући Цирцуит Панда, Еартх Хундун, ХУАПИ, Манга Таурус, Палмерворм, Ред Дјинн и Темп.Овербоард.
Скоро 15 година, група је често користила Ватербеар малвер (познат и као ДБГПРИНТ) у својим сајбер нападима. Међутим, од октобра 2022. њихове кампање су садржале ажурирану верзију овог малвера под називом Деутербеар.
Ланац инфекције који БацкТецх користи за испоруку малвера Ватербеар
Ватербеар се испоручује на циљане уређаје преко закрпљеног легитимног извршног фајла, који користи ДЛЛ бочно учитавање за покретање учитавача. Овај учитавач затим дешифрује и извршава програм за преузимање, који контактира сервер за команду и контролу (Ц&Ц) да би преузео РАТ модул.
Занимљиво је да се РАТ модул два пута преузима из инфраструктуре коју контролише нападач. Прво преузимање учитава Ватербеар додатак, који додатно компромитује систем покретањем друге верзије Ватербеар преузимача за преузимање РАТ модула са другог Ц&Ц сервера.
Другим речима, почетни Ватербеар РАТ делује као програм за преузимање додатака, док други Ватербеар РАТ функционише као бацкдоор, прикупљајући осетљиве информације са компромитованог хоста користећи скуп од 60 команди.
Деутербеар РАТ се ослања на модификовану тактику инфекције како би компромитовао уређаје жртава
Пут заразе за Деутербеар је веома сличан оном за Ватербеар по томе што такође имплементира две фазе за инсталирање РАТ бацкдоор компоненте. Ипак, донекле га прилагођава.
Прва фаза, у овом случају, користи учитавач да покрене програм за преузимање, који се повезује са Ц&Ц сервером да би дохватио Деутербеар РАТ, посредника који служи за успостављање постојаности кроз учитавач друге фазе преко ДЛЛ бочног учитавања. Овај учитавач је на крају одговоран за извршавање програма за преузимање, који поново преузима Деутербеар РАТ са Ц&Ц сервера за крађу информација.
У већини заражених система доступан је само Деутербеар друге фазе. Све компоненте првог степена Деутербеар-а су потпуно уклоњене након што је 'упорна инсталација' завршена.
Деутербеар РАТ се можда развија одвојено од свог претходника
Ова стратегија ефикасно прикрива трагове нападача и отежава истраживачима претњи да анализирају Деутербеар малвер, посебно у симулираним окружењима, уместо стварних система жртава.
Деутербеар РАТ је модернизованија верзија свог претходника, задржавајући само подскуп команди и усвајајући приступ заснован на додацима да прошири своју функционалност. Водени медвед је прошао кроз континуирану еволуцију, што је на крају довело до развоја Деутербеара. Занимљиво је да и Ватербеар и Деутербеар настављају да се развијају независно, уместо да један само замењује другог.
