หนูดิวเตอร์แบร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ให้ข้อมูลเชิงลึกใหม่เกี่ยวกับ Deuterbear ซึ่งเป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่ใช้งานโดยกลุ่มแฮ็กเกอร์ BlackTech ที่เชื่อมโยงกับจีนในแคมเปญจารกรรมทางไซเบอร์ล่าสุดที่กำหนดเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก

Deuterbear RAT มีลักษณะคล้ายกับเครื่องมืออันตรายที่เคยใช้โดยกลุ่มนี้ ซึ่งรู้จักกันในชื่อ Waterbear อย่างไรก็ตาม มีการปรับปรุงที่สำคัญ รวมถึงการสนับสนุนปลั๊กอินเชลล์โค้ด การทำงานโดยไม่ต้องจับมือ และการใช้ HTTPS สำหรับการสื่อสารแบบสั่งการและควบคุม (C&C) ต่างจาก Waterbear ตรงที่ Deuterbear ใช้รูปแบบเชลล์โค้ด รวมเอาเทคนิคการสแกนป้องกันหน่วยความจำ และแบ่งปันรหัสจราจรกับโปรแกรมดาวน์โหลด

BlackTech ได้อัปเดตคลังแสงเครื่องมือคุกคาม

BlackTech มีการใช้งานมาตั้งแต่ปี 2550 เป็นอย่างน้อยในชุมชนความปลอดภัยทางไซเบอร์ในชื่อต่างๆ รวมถึง Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn และ Temp.Overboard

เป็นเวลาเกือบ 15 ปีที่กลุ่มนี้ใช้มัลแวร์ Waterbear (หรือที่รู้จักในชื่อ DBGPRINT) บ่อยครั้งในการโจมตีทางไซเบอร์ อย่างไรก็ตาม ตั้งแต่เดือนตุลาคม 2022 แคมเปญของพวกเขาได้นำเสนอมัลแวร์เวอร์ชันอัปเดตที่เรียกว่า Deuterbear

ห่วงโซ่การติดไวรัสที่ BackTech นำไปใช้เพื่อส่งมัลแวร์ Waterbear

Waterbear ถูกส่งไปยังอุปกรณ์เป้าหมายผ่านโปรแกรมปฏิบัติการที่ถูกต้องตามกฎหมายซึ่งมีแพตช์ ซึ่งใช้การโหลดฝั่ง DLL เพื่อเรียกใช้ตัวโหลด จากนั้นตัวโหลดนี้จะถอดรหัสและดำเนินการตัวดาวน์โหลด ซึ่งจะติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C&C) เพื่อดึงข้อมูลโมดูล RAT

สิ่งที่น่าสนใจคือโมดูล RAT จะถูกดึงข้อมูลสองครั้งจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม การดึงข้อมูลครั้งแรกจะโหลดปลั๊กอิน Waterbear ซึ่งจะทำให้ระบบเสียหายมากขึ้นด้วยการเปิดตัวโปรแกรมดาวน์โหลด Waterbear เวอร์ชันอื่นเพื่อดึงโมดูล RAT จากเซิร์ฟเวอร์ C&C อื่น

กล่าวอีกนัยหนึ่ง Waterbear RAT เริ่มต้นทำหน้าที่เป็นเครื่องมือดาวน์โหลดปลั๊กอิน ในขณะที่ Waterbear RAT ตัวที่สองทำหน้าที่เป็นแบ็คดอร์ โดยรวบรวมข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุกโดยใช้ชุดคำสั่ง 60 คำสั่ง

Deuterbear RAT อาศัยกลยุทธ์การติดเชื้อที่ได้รับการดัดแปลงเพื่อประนีประนอมอุปกรณ์ของเหยื่อ

เส้นทางการติดเชื้อของ Deuterbear นั้นคล้ายคลึงกับเส้นทางของ Waterbear มากตรงที่มีการติดตั้งส่วนประกอบแบ็คดอร์ RAT สองขั้นตอนด้วย ถึงกระนั้นก็ยังปรับแต่งได้บ้าง

ในกรณีนี้ ระยะแรกจะใช้ตัวโหลดเพื่อเปิดตัวดาวน์โหลด ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ C&C เพื่อดึงข้อมูล Deuterbear RAT ซึ่งเป็นตัวกลางที่ทำหน้าที่สร้างการคงอยู่ผ่านตัวโหลดระยะที่สองผ่านการโหลด DLL ฝั่ง ตัวโหลดนี้มีหน้าที่รับผิดชอบในการดำเนินการตัวดาวน์โหลด ซึ่งจะดาวน์โหลด Deuterbear RAT จากเซิร์ฟเวอร์ C&C อีกครั้งเพื่อขโมยข้อมูล

ในระบบที่ติดไวรัสส่วนใหญ่ มีเพียง Deuterbear ระยะที่สองเท่านั้นที่ใช้งานได้ ส่วนประกอบทั้งหมดของ Deuterbear ระยะแรกจะถูกลบออกทั้งหมดหลังจาก 'การติดตั้งแบบถาวร' เสร็จสิ้น

Deuterbear RAT อาจพัฒนาแยกจากรุ่นก่อน

กลยุทธ์นี้ปิดบังร่องรอยของผู้โจมตีได้อย่างมีประสิทธิภาพ และทำให้นักวิจัยภัยคุกคามวิเคราะห์มัลแวร์ Deuterbear ได้ยาก โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมจำลอง แทนที่จะเป็นระบบเหยื่อจริง

Deuterbear RAT เป็นเวอร์ชันที่มีความคล่องตัวมากขึ้นจากรุ่นก่อน โดยคงไว้เพียงชุดคำสั่งย่อยและใช้แนวทางแบบปลั๊กอินเพื่อขยายฟังก์ชันการทำงาน วอเตอร์แบร์มีวิวัฒนาการอย่างต่อเนื่อง ซึ่งท้ายที่สุดก็นำไปสู่การพัฒนาดิวเทอร์แบร์ สิ่งที่น่าสนใจคือทั้ง Waterbear และ Deuterbear ยังคงพัฒนาอย่างเป็นอิสระต่อกัน ไม่ใช่แค่เพียงตัวหนึ่งมาแทนที่ตัวอื่นเท่านั้น