Chuột Deuterbear
Các nhà nghiên cứu an ninh mạng đã cung cấp những hiểu biết mới về Deuterbear, một Trojan truy cập từ xa (RAT) được nhóm hack BlackTech có liên kết với Trung Quốc sử dụng trong một chiến dịch gián điệp mạng gần đây nhắm vào khu vực châu Á - Thái Bình Dương.
Deuterbear RAT giống với một công cụ gây hại trước đây được nhóm sử dụng, được gọi là Waterbear. Tuy nhiên, nó có những cải tiến đáng kể, bao gồm hỗ trợ các plugin shellcode, hoạt động mà không cần bắt tay và sử dụng HTTPS để liên lạc bằng lệnh và điều khiển (C&C). Không giống như Waterbear, Deuterbear sử dụng định dạng shellcode, kết hợp các kỹ thuật quét chống bộ nhớ và chia sẻ khóa lưu lượng với trình tải xuống.
Mục lục
BlackTech đã cập nhật kho công cụ đe dọa của mình
Hoạt động ít nhất từ năm 2007, BlackTech đã được biết đến trong cộng đồng an ninh mạng với nhiều cái tên khác nhau, bao gồm Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn và Temp.Overboard.
Trong gần 15 năm, nhóm này thường xuyên sử dụng phần mềm độc hại Waterbear (còn được gọi là DBGPRINT) trong các cuộc tấn công mạng của chúng. Tuy nhiên, kể từ tháng 10 năm 2022, các chiến dịch của họ đã giới thiệu phiên bản cập nhật của phần mềm độc hại này có tên Deuterbear.
Chuỗi lây nhiễm được BackTech sử dụng để phát tán phần mềm độc hại Waterbear
Waterbear được phân phối đến các thiết bị được nhắm mục tiêu thông qua một tệp thực thi hợp pháp được vá, sử dụng tải phụ DLL để khởi chạy trình tải. Sau đó, trình tải này sẽ giải mã và thực thi trình tải xuống, liên hệ với máy chủ Lệnh và Kiểm soát (C&C) để truy xuất mô-đun RAT.
Điều thú vị là mô-đun RAT được tìm nạp hai lần từ cơ sở hạ tầng do kẻ tấn công kiểm soát. Lần tìm nạp đầu tiên tải một plugin Waterbear, plugin này sẽ làm tổn hại hệ thống hơn nữa bằng cách khởi chạy một phiên bản khác của trình tải xuống Waterbear để truy xuất mô-đun RAT từ một máy chủ C&C khác.
Nói cách khác, Waterbear RAT ban đầu hoạt động như một trình tải xuống plugin, trong khi Waterbear RAT thứ hai hoạt động như một cửa hậu, thu thập thông tin nhạy cảm từ máy chủ bị xâm nhập bằng cách sử dụng bộ 60 lệnh.
Chuột Deuterbear dựa vào chiến thuật lây nhiễm đã được sửa đổi để xâm phạm thiết bị của nạn nhân
Con đường lây nhiễm của Deuterbear rất giống với Waterbear ở chỗ nó cũng thực hiện hai giai đoạn để cài đặt thành phần cửa hậu RAT. Tuy nhiên, nó cũng điều chỉnh nó ở một mức độ nào đó.
Giai đoạn đầu tiên, trong trường hợp này, sử dụng trình tải để khởi chạy trình tải xuống, kết nối với máy chủ C&C để tìm nạp Deuterbear RAT, một trung gian phục vụ việc thiết lập tính bền vững thông qua trình tải giai đoạn hai thông qua tải phụ DLL. Trình tải này chịu trách nhiệm cuối cùng trong việc thực thi trình tải xuống, tải xuống lại Deuterbear RAT từ máy chủ C&C để đánh cắp thông tin.
Trong hầu hết các hệ thống bị nhiễm, chỉ có Deuterbear giai đoạn thứ hai. Tất cả các thành phần của Deuterbear giai đoạn đầu tiên sẽ bị loại bỏ hoàn toàn sau khi 'quá trình cài đặt liên tục' hoàn tất.
RAT Deuterbear có thể đang tiến hóa tách biệt với người tiền nhiệm của nó
Chiến lược này che giấu dấu vết của kẻ tấn công một cách hiệu quả và khiến các nhà nghiên cứu mối đe dọa gặp khó khăn trong việc phân tích phần mềm độc hại Deuterbear, đặc biệt là trong môi trường mô phỏng, thay vì hệ thống nạn nhân thực tế.
Deuterbear RAT là phiên bản hợp lý hơn của phiên bản tiền nhiệm, chỉ giữ lại một tập hợp con các lệnh và áp dụng cách tiếp cận dựa trên plugin để mở rộng chức năng của nó. Gấu nước đã trải qua quá trình tiến hóa liên tục, cuối cùng dẫn đến sự phát triển của Deuterbear. Điều thú vị là cả Waterbear và Deuterbear đều tiếp tục phát triển độc lập, thay vì cái này chỉ thay thế cái kia.
