డ్యూటర్బేర్ RAT
సైబర్ సెక్యూరిటీ పరిశోధకులు ఇటీవల ఆసియా-పసిఫిక్ ప్రాంతాన్ని లక్ష్యంగా చేసుకున్న సైబర్ గూఢచర్య ప్రచారంలో చైనా-లింక్డ్ బ్లాక్టెక్ హ్యాకింగ్ గ్రూప్ ద్వారా ఉపయోగించబడిన రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) అయిన డ్యూటర్బేర్ గురించి కొత్త అంతర్దృష్టులను అందించారు.
డ్యూటర్బేర్ RAT అనేది గతంలో వాటర్బేర్ అని పిలువబడే సమూహం ఉపయోగించే హానికరమైన సాధనాన్ని పోలి ఉంటుంది. అయినప్పటికీ, ఇది షెల్కోడ్ ప్లగిన్లకు మద్దతు, హ్యాండ్షేక్లు లేకుండా ఆపరేషన్ మరియు కమాండ్-అండ్-కంట్రోల్ (C&C) కమ్యూనికేషన్ కోసం HTTPSని ఉపయోగించడం వంటి ముఖ్యమైన మెరుగుదలలను కలిగి ఉంది. వాటర్బేర్ వలె కాకుండా, డ్యూటర్బేర్ షెల్కోడ్ ఆకృతిని ఉపయోగిస్తుంది, యాంటీ-మెమరీ స్కానింగ్ టెక్నిక్లను కలిగి ఉంటుంది మరియు దాని డౌన్లోడ్ చేసినవారితో ట్రాఫిక్ కీని పంచుకుంటుంది.
విషయ సూచిక
బ్లాక్టెక్ బెదిరింపు సాధనాల ఆర్సెనల్ను అప్డేట్ చేస్తోంది
కనీసం 2007 నుండి క్రియాశీలకంగా ఉంది, బ్లాక్టెక్ సైబర్ సెక్యూరిటీ కమ్యూనిటీలో సర్క్యూట్ పాండా, ఎర్త్ హుండున్, HUAPI, మాంగా టారస్, పామర్వార్మ్, రెడ్ జిన్ మరియు టెంప్.ఓవర్బోర్డ్తో సహా పలు పేర్లతో ప్రసిద్ధి చెందింది.
దాదాపు 15 సంవత్సరాలుగా, సమూహం వారి సైబర్ దాడులలో తరచుగా వాటర్బేర్ మాల్వేర్ను (DBGPRINT అని కూడా పిలుస్తారు) ఉపయోగిస్తోంది. అయినప్పటికీ, అక్టోబర్ 2022 నుండి, వారి ప్రచారాలు డ్యూటర్బేర్ అనే ఈ మాల్వేర్ యొక్క నవీకరించబడిన సంస్కరణను కలిగి ఉన్నాయి.
వాటర్బేర్ మాల్వేర్ డెలివరీ కోసం బ్యాక్టెక్ ద్వారా ఇన్ఫెక్షన్ చైన్ ఉపయోగించబడింది
వాటర్బేర్ పాచ్ చేయబడిన చట్టబద్ధమైన ఎక్జిక్యూటబుల్ ద్వారా లక్ష్య పరికరాలకు పంపిణీ చేయబడుతుంది, ఇది లోడర్ను లాంచ్ చేయడానికి DLL సైడ్-లోడింగ్ని ఉపయోగిస్తుంది. ఈ లోడర్ అప్పుడు RAT మాడ్యూల్ను తిరిగి పొందడానికి కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్ని సంప్రదిస్తుంది, డౌన్లోడ్ను డీక్రిప్ట్ చేస్తుంది మరియు అమలు చేస్తుంది.
ఆసక్తికరంగా, RAT మాడ్యూల్ అటాకర్-నియంత్రిత ఇన్ఫ్రాస్ట్రక్చర్ నుండి రెండుసార్లు పొందబడింది. మొదటి పొందడం వాటర్బేర్ ప్లగ్ఇన్ను లోడ్ చేస్తుంది, ఇది మరొక C&C సర్వర్ నుండి RAT మాడ్యూల్ను తిరిగి పొందడానికి వాటర్బేర్ డౌన్లోడ్ యొక్క వేరొక వెర్షన్ను ప్రారంభించడం ద్వారా సిస్టమ్ను మరింత రాజీ చేస్తుంది.
మరో మాటలో చెప్పాలంటే, ప్రారంభ వాటర్బేర్ RAT ప్లగిన్ డౌన్లోడ్గా పనిచేస్తుంది, రెండవ వాటర్బేర్ RAT బ్యాక్డోర్గా పనిచేస్తుంది, 60 ఆదేశాల సమితిని ఉపయోగించి రాజీపడిన హోస్ట్ నుండి సున్నితమైన సమాచారాన్ని సేకరిస్తుంది.
డ్యూటర్బేర్ RAT బాధితుల పరికరాలను రాజీ చేయడానికి సవరించిన ఇన్ఫెక్షన్ వ్యూహాలపై ఆధారపడుతుంది
డ్యూటర్బేర్కు సంబంధించిన ఇన్ఫెక్షన్ పాత్వే వాటర్బేర్తో సమానంగా ఉంటుంది, దీనిలో RAT బ్యాక్డోర్ కాంపోనెంట్ను ఇన్స్టాల్ చేయడానికి ఇది రెండు దశలను కూడా అమలు చేస్తుంది. అయినప్పటికీ, ఇది కొంతవరకు సర్దుబాటు చేస్తుంది.
మొదటి దశ, ఈ సందర్భంలో, డౌన్లోడ్ను ప్రారంభించేందుకు లోడర్ను ఉపయోగిస్తుంది, ఇది డ్యుటర్బేర్ RATని పొందేందుకు C&C సర్వర్కి కనెక్ట్ చేస్తుంది, ఇది DLL సైడ్-లోడింగ్ ద్వారా రెండవ-దశ లోడర్ ద్వారా నిలకడను స్థాపించడానికి మధ్యవర్తిగా పనిచేస్తుంది. ఈ లోడర్ అంతిమంగా డౌన్లోడర్ను అమలు చేయడానికి బాధ్యత వహిస్తుంది, ఇది సమాచార దొంగతనం కోసం C&C సర్వర్ నుండి డ్యూటర్బేర్ RATని మళ్లీ డౌన్లోడ్ చేస్తుంది.
చాలా సోకిన వ్యవస్థలలో, రెండవ దశ డ్యూటర్బేర్ మాత్రమే అందుబాటులో ఉంది. మొదటి దశ డ్యూటర్బేర్ యొక్క అన్ని భాగాలు 'పెర్సిస్టెన్స్ ఇన్స్టాలేషన్' పూర్తయిన తర్వాత పూర్తిగా తీసివేయబడతాయి.
డ్యూటర్బేర్ RAT దాని పూర్వీకుల నుండి విడిగా అభివృద్ధి చెందుతూ ఉండవచ్చు
ఈ వ్యూహం దాడి చేసేవారి ట్రాక్లను సమర్థవంతంగా అస్పష్టం చేస్తుంది మరియు ముప్పు పరిశోధకులకు డ్యూటర్బేర్ మాల్వేర్ను విశ్లేషించడం కష్టతరం చేస్తుంది, ప్రత్యేకించి సిమ్యులేటెడ్ పరిసరాలలో, వాస్తవ బాధితుల సిస్టమ్లకు బదులుగా.
డ్యూటర్బేర్ RAT అనేది దాని పూర్వీకుల యొక్క మరింత క్రమబద్ధీకరించబడిన సంస్కరణ, ఇది ఆదేశాల ఉపసమితిని మాత్రమే కలిగి ఉంటుంది మరియు దాని కార్యాచరణను విస్తరించడానికి ప్లగిన్-ఆధారిత విధానాన్ని అవలంబిస్తుంది. వాటర్బేర్ నిరంతర పరిణామానికి గురైంది, చివరికి డ్యూటర్బేర్ అభివృద్ధికి దారితీసింది. ఆసక్తికరంగా, వాటర్బేర్ మరియు డ్యూటర్బేర్ రెండూ ఒకదాని స్థానంలో మరొకటి కాకుండా స్వతంత్రంగా అభివృద్ధి చెందుతూనే ఉన్నాయి.
