Deuterbear ЩУР
Дослідники з кібербезпеки надали нове розуміння Deuterbear, трояна віддаленого доступу (RAT), який використовується пов’язаною з Китаєм хакерською групою BlackTech в нещодавній кампанії кібершпигунства, націленої на Азіатсько-Тихоокеанський регіон.
Deuterbear RAT нагадує шкідливий інструмент, який раніше використовувала група, відома як Waterbear. Однак він має значні вдосконалення, включаючи підтримку плагінів коду оболонки, роботу без рукостискань і використання HTTPS для командно-контрольного зв’язку (C&C). На відміну від Waterbear, Deuterbear використовує формат шелл-коду, використовує методи сканування антипам’яті та ділиться ключем трафіку зі своїм завантажувачем.
Зміст
BlackTech оновлює свій арсенал загрозливих інструментів
Активна щонайменше з 2007 року, BlackTech відома в спільноті кібербезпеки під різними назвами, зокрема Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn і Temp.Overboard.
Протягом майже 15 років група часто використовувала шкідливе програмне забезпечення Waterbear (також відоме як DBGPRINT) у своїх кібератаках. Однак із жовтня 2022 року в їхніх кампаніях була представлена оновлена версія цього зловмисного ПЗ під назвою Deuterbear.
Ланцюжок зараження, який використовує BackTech для доставки зловмисного програмного забезпечення Waterbear
Waterbear доставляється на цільові пристрої через виправлений легітимний виконуваний файл, який використовує бічне завантаження DLL для запуску завантажувача. Потім цей завантажувач розшифровує та виконує завантажувач, який зв’язується з сервером командування та керування (C&C) для отримання модуля RAT.
Цікаво, що модуль RAT отримується двічі з контрольованої зловмисником інфраструктури. Перше отримання завантажує плагін Waterbear, який ще більше компрометує систему, запускаючи іншу версію завантажувача Waterbear для отримання модуля RAT з іншого C&C сервера.
Іншими словами, початковий Waterbear RAT діє як завантажувач плагінів, тоді як другий Waterbear RAT функціонує як бекдор, збираючи конфіденційну інформацію від скомпрометованого хоста за допомогою набору з 60 команд.
Deuterbear RAT покладається на модифіковану тактику зараження для компрометації пристроїв жертв
Шлях зараження Deuterbear дуже схожий на шлях зараження Waterbear, оскільки він також реалізує два етапи для встановлення бекдор-компонента RAT. Тим не менш, це також певною мірою його налаштовує.
Перший етап, у цьому випадку, використовує завантажувач для запуску завантажувача, який підключається до C&C-сервера, щоб отримати Deuterbear RAT, посередника, який служить для встановлення стійкості через завантажувач другого етапу за допомогою бокового завантаження DLL. Цей завантажувач остаточно відповідає за виконання завантажувача, який знову завантажує Deuterbear RAT із C&C-сервера для крадіжки інформації.
У більшості інфікованих систем доступний лише другий ступінь Deuterbear. Усі компоненти першого етапу Deuterbear повністю видаляються після завершення «постійної інсталяції».
Deuterbear RAT може розвиватися окремо від свого попередника
Ця стратегія ефективно приховує сліди зловмисників і ускладнює дослідникам загроз аналіз зловмисного програмного забезпечення Deuterbear, особливо в змодельованих середовищах, замість фактичних систем жертв.
Deuterbear RAT — це більш оптимізована версія свого попередника, яка зберігає лише піднабір команд і застосовує підхід на основі плагінів для розширення функціональності. Водяний ведмідь зазнав безперервної еволюції, що зрештою призвело до розвитку Deuterbear. Цікаво, що і Водяний Ведмідь, і Другий Ведмідь продовжують розвиватися незалежно, а не просто замінюють одне одного.
