Döterayı RAT
Siber güvenlik araştırmacıları, Çin bağlantılı BlackTech hack grubu tarafından Asya-Pasifik bölgesini hedef alan yakın tarihli bir siber casusluk kampanyasında kullanılan bir Uzaktan Erişim Truva Atı (RAT) olan Deuterbear hakkında yeni bilgiler sağladı.
Deuterbear RAT, grup tarafından kullanılan ve Waterbear olarak bilinen, daha önce zararlı olan bir araca benziyor. Bununla birlikte, kabuk kodu eklentileri desteği, el sıkışma olmadan çalışma ve komut ve kontrol (C&C) iletişimi için HTTPS kullanımı gibi önemli geliştirmeler içerir. Waterbear'dan farklı olarak Deuterbear, bir kabuk kodu formatı kullanıyor, anti-bellek tarama tekniklerini içeriyor ve indiricisiyle bir trafik anahtarını paylaşıyor.
İçindekiler
BlackTech Tehdit Araçları Cephaneliğini Güncelliyor
En az 2007'den beri aktif olan BlackTech, siber güvenlik topluluğunda Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ve Temp.Overboard gibi çeşitli isimlerle tanınmaktadır.
Grup, yaklaşık 15 yıldır siber saldırılarında sıklıkla Waterbear kötü amaçlı yazılımını (DBGPRINT olarak da bilinir) kullanıyor. Ancak Ekim 2022'den bu yana kampanyalarında bu kötü amaçlı yazılımın Deuterbear adlı güncellenmiş bir sürümü yer alıyor.
BackTech'in Waterbear Kötü Amaçlı Yazılımının Dağıtımı İçin Kullandığı Enfeksiyon Zinciri
Waterbear, hedeflenen cihazlara, bir yükleyiciyi başlatmak için DLL yan yüklemesini kullanan yamalı yasal bir yürütülebilir dosya aracılığıyla teslim edilir. Bu yükleyici daha sonra RAT modülünü almak için Komuta ve Kontrol (C&C) sunucusuyla bağlantı kuran indiricinin şifresini çözer ve çalıştırır.
İlginç bir şekilde RAT modülü, saldırganın kontrol ettiği altyapıdan iki kez getiriliyor. İlk getirme, bir Waterbear eklentisini yükler; bu, RAT modülünü başka bir C&C sunucusundan almak için Waterbear indiricisinin farklı bir sürümünü başlatarak sistemi daha da tehlikeye sokar.
Başka bir deyişle, ilk Waterbear RAT bir eklenti indiricisi görevi görürken, ikinci Waterbear RAT bir arka kapı görevi görerek 60 komuttan oluşan bir dizi kullanarak güvenliği ihlal edilen ana bilgisayardan hassas bilgiler toplar.
Deuterbear RAT, Kurbanların Cihazlarını Ele Geçirmek İçin Değiştirilmiş Enfeksiyon Taktiklerine Güveniyor
Deuterbear'ın enfeksiyon yolu, Waterbear'ınkine çok benzer, çünkü aynı zamanda RAT arka kapı bileşenini kurmak için iki aşama uygular. Yine de onu bir dereceye kadar düzeltiyor.
Bu durumda ilk aşama, DLL yan yükleme yoluyla ikinci aşama yükleyici aracılığıyla kalıcılık oluşturmaya hizmet eden bir aracı olan Deuterbear RAT'ı getirmek için C&C sunucusuna bağlanan bir indiriciyi başlatmak için yükleyiciyi kullanır. Bu yükleyici, bilgi hırsızlığı için Deuterbear RAT'ı bir C&C sunucusundan tekrar indiren bir indiricinin yürütülmesinden nihai olarak sorumludur.
Enfekte olmuş sistemlerin çoğunda yalnızca ikinci aşama Deuterbear mevcut. İlk aşama Deuterbear'in tüm bileşenleri 'kalıcı kurulum' tamamlandıktan sonra tamamen kaldırılır.
Deuterbear RAT, Selefinden Ayrı Evrimleşiyor Olabilir
Bu strateji, saldırganların izlerini etkili bir şekilde gizler ve tehdit araştırmacılarının gerçek kurban sistemleri yerine özellikle simüle edilmiş ortamlarda Deuterbear kötü amaçlı yazılımını analiz etmesini zorlaştırır.
Deuterbear RAT, önceki modelin daha akıcı bir versiyonudur; yalnızca komutların bir alt kümesini korur ve işlevselliğini genişletmek için eklenti tabanlı bir yaklaşım benimser. Waterbear sürekli bir evrim geçirdi ve sonuçta Deuterbear'ın gelişmesine yol açtı. İlginçtir ki hem Waterbear hem de Deuterbear, biri diğerinin yerine geçmek yerine, bağımsız olarak gelişmeye devam ediyor.
