Deuterbear RAT udnyttet af kinesiske hackere til at lancere cyberspionagekampagner

Nyere cybersikkerhedsforskning har afsløret brugen af en fjernadgangstrojan (RAT) ved navn Deuterbear af den Kina-tilknyttede BlackTech-hackinggruppe i deres cyberspionagekampagner i Asien-Stillehavsområdet.

Ifølge Trend Micro-forskerne Pierre Lee og Cyris Tseng deler Deuterbear ligheder med Waterbear-malwaren, men inkluderer forbedringer såsom understøttelse af shellcode-plugins, undgåelse af håndtryk under RAT-drift og brugen af HTTPS til kommando-og-kontrol-kommunikation (C&C) . Bemærkelsesværdige fremskridt i Deuterbear over Waterbear inkluderer et shellcode-format, anti-hukommelsesscanningsfunktioner og en delt trafiknøgle med dens downloader.

Deuterbear har andre bånd

BlackTech, der har været aktiv siden mindst 2007, er også kendt under forskellige navne såsom Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn og Temp.Overboard. Historisk set har denne gruppe implementeret Waterbear malware i næsten 15 år. Kampagner observeret siden oktober 2022 har dog inkorporeret den opdaterede Deuterbear-variant.

Waterbears metode involverer at bruge en patchet legitim eksekverbar til DLL-sideindlæsning for at starte en loader, der dekrypterer og udfører en downloader, som derefter kontakter en C&C-server for at hente RAT-modulet. Modulet hentes to gange fra angriberstyret infrastruktur: den første instans indlæser et Waterbear-plugin, der starter en anden version af downloaderen, som derefter henter RAT-modulet fra en anden C&C-server. I det væsentlige fungerer den oprindelige Waterbear RAT som en plugin-downloader, mens den efterfølgende fungerer som en bagdør til at indsamle følsomme oplysninger fra det kompromitterede system ved hjælp af 60 kommandoer.

Deuterbear-infektionsmetoder kan undgå påvisning

Deuterbear følger en lignende infektionsvej, men introducerer visse modifikationer. Det første trin bruger en loader til at starte en downloader, der forbinder til C&C-serveren for at hente Deuterbear RAT. Dette mellemtrin etablerer persistens gennem en anden-trins-loader via DLL-side-loading. Denne indlæser udfører derefter en anden downloader, som igen downloader Deuterbear RAT for datatyveri. Forskere bemærker, at kun anden fase af Deuterbear typisk er til stede på inficerede systemer, da alle komponenter i første fase fjernes efter-persistensinstallation, hvilket gør detektion og analyse mere udfordrende for trusselsforskere.

Deuterbear er en strømlinet version af Waterbear, der bevarer færre kommandoer, men inkorporerer en plugin-baseret tilgang for ekstra funktionalitet. Trend Micro bemærker, at Waterbear og Deuterbear har udviklet sig uafhængigt i stedet for at den ene erstatter den anden.

SugarGh0st RAT rettet mod amerikanske AI-organisationer

I relaterede nyheder har Proofpoint beskrevet en målrettet cyberkampagne mod amerikanske organisationer involveret i kunstig intelligens, ved hjælp af en malware kaldet SugarGh0st RAT. Denne tilpassede variant af Gh0st RAT har tidligere været målrettet mod Central- og Østasien. Angrebet, der er knyttet til en kinesisk-talende trusselsaktør, involverer phishing-beskeder med AI-tema-indhold for at levere SugarGh0st-nyttelasten via en JavaScript-dropper. Kampagnen i maj 2024 var rettet mod færre end ti personer, potentielt for at stjæle ikke-offentlig information om generativ AI, midt i stigende amerikanske bestræbelser på at begrænse Kinas adgang til AI-teknologier.

Denne sammenhæng omfatter det amerikanske justitsministeriums tiltale mod en tidligere Google-softwareingeniør for at have stjålet proprietære oplysninger til brug hos AI-tilknyttede teknologivirksomheder i Kina. Fokus på amerikanske AI-enheder antyder et strategisk motiv til at styrke Kinas AI-udvikling midt i begrænset adgang til avancerede teknologier fra førende virksomheder som OpenAI og Google DeepMind.