Deuterbear RAT
Cybersäkerhetsforskare har gett nya insikter om Deuterbear, en Remote Access Trojan (RAT) anställd av den Kina-länkade BlackTech- hackinggruppen i en nyligen genomförd cyberspionagekampanj riktad mot Asien-Stillahavsområdet.
Deuterbear RAT liknar ett tidigare skadligt verktyg som använts av gruppen, känt som Waterbear. Den har dock betydande förbättringar, inklusive stöd för skalkodsplugin, drift utan handskakning och användning av HTTPS för kommando-och-kontroll (C&C) kommunikation. Till skillnad från Waterbear använder Deuterbear ett skalkodsformat, innehåller antiminnesskanningstekniker och delar en trafiknyckel med sin nedladdare.
Innehållsförteckning
BlackTech har uppdaterat sitt arsenal av hotfulla verktyg
BlackTech har varit aktivt sedan åtminstone 2007 och har varit känt inom cybersäkerhetsgemenskapen under olika namn, inklusive Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn och Temp.Overboard.
I nästan 15 år har gruppen ofta använt skadlig programvara Waterbear (även känd som DBGPRINT) i sina cyberattacker. Men sedan oktober 2022 har deras kampanjer innehållit en uppdaterad version av denna skadliga programvara som heter Deuterbear.
Infektionskedjan som används av BackTech för leverans av Waterbear Malware
Waterbear levereras till de riktade enheterna via en korrigerad legitim körbar fil, som använder DLL-sidoladdning för att starta en laddare. Den här laddaren dekrypterar och kör sedan en nedladdare, som kontaktar en Command-and-Control-server (C&C) för att hämta RAT-modulen.
Intressant nog hämtas RAT-modulen två gånger från den angriparkontrollerade infrastrukturen. Den första hämtningen laddar ett Waterbear-plugin, som ytterligare äventyrar systemet genom att starta en annan version av Waterbear-nedladdaren för att hämta RAT-modulen från en annan C&C-server.
Med andra ord fungerar den initiala Waterbear RAT som en plugin-nedladdare, medan den andra Waterbear RAT fungerar som en bakdörr och samlar in känslig information från den komprometterade värden med en uppsättning av 60 kommandon.
Deuterbear RAT förlitar sig på modifierad infektionstaktik för att äventyra offrens enheter
Infektionsvägen för Deuterbear är mycket lik den för Waterbear genom att den också implementerar två steg för att installera RAT-bakdörrskomponenten. Ändå justerar det också till viss del.
Det första steget, i det här fallet, använder laddaren för att starta en nedladdare, som ansluter till C&C-servern för att hämta Deuterbear RAT, en mellanhand som tjänar till att etablera persistens genom en andra stegs laddare via DLL-sidoladdning. Den här laddaren är ytterst ansvarig för att köra en nedladdare, som återigen laddar ner Deuterbear RAT från en C&C-server för informationsstöld.
I de flesta av de infekterade systemen är endast det andra steget Deuterbear tillgängligt. Alla komponenter i det första steget Deuterbear tas bort helt efter att "beständighetsinstallationen" är klar.
Deuterbear RAT kan utvecklas separat från sin föregångare
Denna strategi döljer effektivt angriparnas spår och gör det svårt för hotforskare att analysera Deuterbears skadliga program, särskilt i simulerade miljöer, istället för faktiska offersystem.
Deuterbear RAT är en mer strömlinjeformad version av sin föregångare, som bara behåller en undergrupp av kommandon och antar en plugin-baserad strategi för att utöka dess funktionalitet. Waterbear har genomgått kontinuerlig utveckling, vilket i slutändan har lett till utvecklingen av Deuterbear. Intressant nog fortsätter både Waterbear och Deuterbear att utvecklas oberoende, snarare än att den ena bara ersätter den andra.
