Chinesische Hacker nutzen Deuterbear RAT für Cyber-Spionage-Kampagnen

Aktuelle Untersuchungen zur Cybersicherheit haben den Einsatz eines Remote Access Trojaners (RAT) namens Deuterbear durch die mit China verbundene Hackergruppe BlackTech in ihren Cyber-Spionagekampagnen im asiatisch-pazifischen Raum aufgedeckt.

Laut den Trend Micro-Forschern Pierre Lee und Cyris Tseng weist Deuterbear Ähnlichkeiten mit der Waterbear-Malware auf, bietet aber Verbesserungen wie die Unterstützung von Shellcode-Plugins, die Vermeidung von Handshakes während des RAT-Betriebs und die Verwendung von HTTPS für die Command-and-Control-Kommunikation (C&C). Zu den bemerkenswerten Fortschritten von Deuterbear gegenüber Waterbear gehören ein Shellcode-Format, Anti-Memory-Scanning-Funktionen und ein gemeinsamer Verkehrsschlüssel mit seinem Downloader.

Deuterbear hat andere Bindungen

BlackTech ist seit mindestens 2007 aktiv und auch unter verschiedenen Namen bekannt, wie Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn und Temp.Overboard. Historisch gesehen hat diese Gruppe die Waterbear-Malware fast 15 Jahre lang eingesetzt. In den seit Oktober 2022 beobachteten Kampagnen wurde jedoch die aktualisierte Deuterbear-Variante integriert.

Waterbears Methode besteht darin, eine gepatchte legitime ausführbare Datei für das Sideloading von DLLs zu verwenden, um einen Loader zu starten, der einen Downloader entschlüsselt und ausführt, der dann einen C&C-Server kontaktiert, um das RAT-Modul abzurufen. Das Modul wird zweimal aus der vom Angreifer kontrollierten Infrastruktur abgerufen: Beim ersten Mal wird ein Waterbear-Plugin geladen, das eine andere Version des Downloaders startet, der dann das RAT-Modul von einem anderen C&C-Server abruft. Im Wesentlichen dient der erste Waterbear-RAT als Plugin-Downloader, während der nachfolgende als Hintertür fungiert, um mithilfe von 60 Befehlen vertrauliche Informationen aus dem kompromittierten System zu sammeln.

Infektionsmethoden mit Deuterbären können unentdeckt bleiben

Deuterbear folgt einem ähnlichen Infektionspfad, führt jedoch bestimmte Änderungen ein. Die erste Stufe verwendet einen Loader, um einen Downloader zu starten, der sich mit dem C&C-Server verbindet, um Deuterbear RAT abzurufen. Dieser Zwischenschritt stellt die Persistenz durch einen Loader der zweiten Stufe über DLL-Sideloading her. Dieser Loader führt dann einen weiteren Downloader aus, der erneut Deuterbear RAT zum Datendiebstahl herunterlädt. Forscher weisen darauf hin, dass auf infizierten Systemen normalerweise nur die zweite Stufe von Deuterbear vorhanden ist, da alle Komponenten der ersten Stufe nach der Persistenzinstallation entfernt werden, was die Erkennung und Analyse für Bedrohungsforscher schwieriger macht.

Deuterbear ist eine abgespeckte Version von Waterbear, die weniger Befehle enthält, aber einen Plugin-basierten Ansatz für zusätzliche Funktionalität bietet. Trend Micro weist darauf hin, dass Waterbear und Deuterbear sich unabhängig voneinander entwickelt haben und sich nicht gegenseitig ersetzt haben.

SugarGh0st RAT zielt auf US-amerikanische KI-Organisationen ab

In einer verwandten Nachricht hat Proofpoint eine gezielte Cyber-Kampagne gegen US-Organisationen im Bereich künstliche Intelligenz beschrieben, bei der eine Malware namens SugarGh0st RAT zum Einsatz kam. Diese angepasste Variante von Gh0st RAT zielte zuvor auf Zentral- und Ostasien ab. Der Angriff, der mit einem chinesischsprachigen Bedrohungsakteur in Verbindung gebracht wird, umfasst Phishing-Nachrichten mit KI-Inhalten, um die SugarGh0st-Nutzlast über einen JavaScript-Dropper zu übermitteln. Die Kampagne vom Mai 2024 zielte auf weniger als zehn Personen ab, möglicherweise um nicht öffentliche Informationen über generative KI zu stehlen, während die USA zunehmend versuchen, Chinas Zugang zu KI-Technologien einzuschränken.

In diesem Zusammenhang steht auch die Anklage des US-Justizministeriums gegen einen ehemaligen Google-Softwareentwickler wegen des Diebstahls vertraulicher Informationen zur Verwendung bei KI-Technologieunternehmen in China. Der Fokus auf US-KI-Unternehmen deutet auf ein strategisches Motiv hin, Chinas KI-Entwicklung zu stärken, da der Zugang zu fortschrittlichen Technologien führender Unternehmen wie OpenAI und Google DeepMind eingeschränkt ist.