DEuterbear RAT
Nagbigay ang mga mananaliksik ng cybersecurity ng mga bagong insight sa Deuterbear, isang Remote Access Trojan (RAT) na ginagamit ng grupong pangha-hack ng BlackTech na nauugnay sa China sa isang kamakailang kampanyang cyber espionage na nagta-target sa rehiyon ng Asia-Pacific.
Ang Deuterbear RAT ay kahawig ng isang dating nakakapinsalang tool na ginamit ng grupo, na kilala bilang Waterbear. Gayunpaman, nagtatampok ito ng mga makabuluhang pagpapahusay, kabilang ang suporta para sa mga shellcode plugin, pagpapatakbo nang walang pakikipagkamay, at paggamit ng HTTPS para sa command-and-control (C&C) na komunikasyon. Hindi tulad ng Waterbear, gumagamit ang Deuterbear ng isang format ng shellcode, isinasama ang mga diskarte sa pag-scan ng anti-memory, at nagbabahagi ng traffic key sa downloader nito.
Talaan ng mga Nilalaman
In-update ng BlackTech ang Arsenal of Threatening Tools Nito
Aktibo mula noong hindi bababa sa 2007, kilala ang BlackTech sa komunidad ng cybersecurity sa iba't ibang pangalan, kabilang ang Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn, at Temp.Overboard.
Sa loob ng halos 15 taon, madalas na ginagamit ng grupo ang Waterbear malware (kilala rin bilang DBGPRINT) sa kanilang mga cyber attack. Gayunpaman, mula noong Oktubre 2022, nagtatampok ang kanilang mga kampanya ng na-update na bersyon ng malware na ito na tinatawag na Deuterbear.
Ang Infection Chain na Ginamit ng BackTech para sa Paghahatid ng Waterbear Malware
Inihahatid ang Waterbear sa mga naka-target na device sa pamamagitan ng naka-patch na lehitimong executable, na gumagamit ng DLL side-loading upang maglunsad ng loader. Ang loader na ito ay nagde-decrypt at nagpapatupad ng isang downloader, na nakikipag-ugnayan sa isang Command-and-Control (C&C) server upang kunin ang RAT module.
Kapansin-pansin, ang RAT module ay kinukuha nang dalawang beses mula sa imprastraktura na kinokontrol ng attacker. Ang unang pagkuha ay naglo-load ng isang Waterbear plugin, na higit pang nakompromiso sa system sa pamamagitan ng paglulunsad ng ibang bersyon ng Waterbear downloader upang kunin ang RAT module mula sa isa pang C&C server.
Sa madaling salita, ang paunang Waterbear RAT ay gumaganap bilang isang plugin downloader, habang ang pangalawang Waterbear RAT ay gumaganap bilang isang backdoor, nangongolekta ng sensitibong impormasyon mula sa nakompromisong host gamit ang isang set ng 60 command.
Ang Deuterbear RAT ay Umaasa sa Binagong Mga Taktika sa Impeksyon upang Ikompromiso ang Mga Device ng Mga Biktima
Ang daanan ng impeksyon para sa Deuterbear ay halos kapareho ng sa Waterbear dahil nagpapatupad din ito ng dalawang yugto upang i-install ang bahagi ng RAT backdoor. Gayunpaman, ito rin ay tweaks ito sa ilang mga lawak.
Ang unang yugto, sa kasong ito, ay gumagamit ng loader upang maglunsad ng isang downloader, na kumokonekta sa C&C server upang kunin ang Deuterbear RAT, isang tagapamagitan na nagsisilbing magtatag ng pagpupursige sa pamamagitan ng pangalawang yugto ng loader sa pamamagitan ng DLL side-loading. Ang loader na ito ay ganap na responsable para sa pagpapatupad ng isang downloader, na muling nagda-download ng Deuterbear RAT mula sa isang C&C server para sa pagnanakaw ng impormasyon.
Sa karamihan ng mga nahawaang sistema, tanging ang pangalawang yugto na Deuterbear ang magagamit. Ang lahat ng mga bahagi ng unang yugto ng Deuterbear ay ganap na tinanggal pagkatapos makumpleto ang 'pagtitiyaga sa pag-install.
Ang Deuterbear RAT ay maaaring Umuunlad nang Hiwalay mula sa Hinalinhan Nito
Ang diskarteng ito ay epektibong nakakubli sa mga track ng mga umaatake at nagpapahirap sa mga mananaliksik ng pagbabanta na suriin ang Deuterbear malware, lalo na sa mga simulate na kapaligiran, sa halip na mga aktwal na system ng biktima.
Ang Deuterbear RAT ay isang mas streamline na bersyon ng hinalinhan nito, na nagpapanatili lamang ng isang subset ng mga command at gumagamit ng isang plugin-based na diskarte upang palawakin ang functionality nito. Ang Waterbear ay sumailalim sa tuluy-tuloy na ebolusyon, sa huli ay humahantong sa pagbuo ng Deuterbear. Kapansin-pansin, ang parehong Waterbear at Deuterbear ay patuloy na umuunlad nang nakapag-iisa, sa halip na ang isa ay pinapalitan lamang ang isa.
