多特熊鼠

網路安全研究人員對 Deuterbear 提供了新的見解，Deuterbear 是與中國有聯繫的BlackTech駭客組織在最近針對亞太地區的網路間諜活動中使用的一種遠端存取木馬 (RAT)。

Deuterbear RAT 類似於該組織先前使用的有害工具 Waterbear。然而，它具有顯著的增強功能，包括支援 shellcode 插件、無需握手的操作以及使用 HTTPS 進行命令和控制 (C&C) 通訊。與 Waterbear 不同，Deuterbear 採用 shellcode 格式，結合了反記憶體掃描技術，並與其下載器共享流量金鑰。

BlackTech 一直在更新其威脅工具庫

BlackTech 至少從 2007 年開始活躍，在網路安全社群中以各種名稱聞名，包括 Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn 和 Temp.Overboard。

近 15 年來，該組織在網路攻擊中經常使用 Waterbear 惡意軟體（也稱為 DBGPRINT）。然而，自 2022 年 10 月以來，他們的活動推出了該惡意軟體的更新版本，名為 Deuterbear。

BackTech 用於傳播 Waterbear 惡意軟體的感染鏈

Waterbear 透過修補的合法可執行檔傳遞到目標設備，該執行檔使用 DLL 側面載入來啟動載入程式。然後，該載入程式解密並執行下載程序，下載程式聯繫命令與控制 (C&C) 伺服器以檢索 RAT 模組。

有趣的是，RAT 模組從攻擊者控制的基礎設施中取得兩次。第一次取得會載入 Waterbear 插件，該插件會啟動不同版本的 Waterbear 下載器以從另一台 C&C 伺服器擷取 RAT 模組，從而進一步危害系統。

換句話說，最初的 Waterbear RAT 充當插件下載器，而第二個 Waterbear RAT 充當後門，使用一組 60 個命令從受感染的主機收集敏感資訊。

Deuterbear RAT 依靠改進的感染策略來破壞受害者的設備

Deuterbear的感染途徑與Waterbear非常相似，同樣採用兩個階段來安裝RAT後門組件。儘管如此，它也在一定程度上進行了調整。

在本例中，第一階段使用載入程式啟動下載程序，該下載程序連接到 C&C 伺服器以取得 Deuterbear RAT，這是一種中介，用於透過 DLL 側面載入透過第二階段載入程式建立持久性。該加載程序最終負責執行下載程序，該下載程序再次從 C&C 伺服器下載 Deuterbear RAT 以進行資訊竊取。

在大多數受感染的系統中，只有第二階段 Deuterbear 可用。 「持久安裝」完成後，第一階段 Deuterbear 的所有元件都將完全刪除。

Deuterbear RAT 可能會與其前身分開進化

這種策略有效地掩蓋了攻擊者的蹤跡，並使威脅研究人員難以分析 Deuterbear 惡意軟體，尤其是在模擬環境中，而不是實際的受害者係統中。

Deuterbear RAT 是其前身的更精簡版本，僅保留命令子集並採用基於插件的方法來擴展其功能。 Waterbear 經歷了不斷的進化，最終導致了 Deuterbear 的發展。有趣的是，水熊和杜特熊都在繼續獨立進化，而不是只取代另一個。