Το Deuterbear RAT αξιοποιείται από Κινέζους χάκερ για να ξεκινήσει εκστρατείες κυβερνοκατασκοπείας

Πρόσφατη έρευνα για την ασφάλεια στον κυβερνοχώρο αποκάλυψε τη χρήση ενός trojan απομακρυσμένης πρόσβασης (RAT) που ονομάζεται Deuterbear από την ομάδα χάκερ BlackTech που συνδέεται με την Κίνα στις εκστρατείες κατασκοπείας στον κυβερνοχώρο στην περιοχή Ασίας-Ειρηνικού.

Σύμφωνα με τους ερευνητές της Trend Micro, Pierre Lee και Cyris Tseng, το Deuterbear μοιράζεται ομοιότητες με το κακόβουλο λογισμικό Waterbear, αλλά περιλαμβάνει βελτιώσεις όπως υποστήριξη για προσθήκες shellcode, αποφυγή χειραψίας κατά τη λειτουργία RAT και χρήση HTTPS για επικοινωνία εντολών και ελέγχου (C&C). . Οι αξιοσημείωτες εξελίξεις στο Deuterbear έναντι του Waterbear περιλαμβάνουν μια μορφή shellcode, δυνατότητες σάρωσης κατά της μνήμης και ένα κοινό κλειδί κυκλοφορίας με το πρόγραμμα λήψης του.

Ο Deuterbear έχει άλλους δεσμούς

Η BlackTech, ενεργή τουλάχιστον από το 2007, είναι επίσης γνωστή με διάφορα ονόματα όπως Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn και Temp.Overboard. Ιστορικά, αυτή η ομάδα έχει αναπτύξει το κακόβουλο λογισμικό Waterbear για σχεδόν 15 χρόνια. Ωστόσο, οι καμπάνιες που παρατηρήθηκαν από τον Οκτώβριο του 2022 έχουν ενσωματώσει την ενημερωμένη παραλλαγή Deuterbear.

Η μέθοδος του Waterbear περιλαμβάνει τη χρήση ενός επιδιορθωμένου νόμιμου εκτελέσιμου αρχείου για πλευρική φόρτωση DLL για την εκκίνηση ενός φορτωτή που αποκρυπτογραφεί και εκτελεί ένα πρόγραμμα λήψης, το οποίο στη συνέχεια έρχεται σε επαφή με έναν διακομιστή C&C για να ανακτήσει τη μονάδα RAT. Η μονάδα λαμβάνεται δύο φορές από υποδομή που ελέγχεται από τους εισβολείς: η πρώτη περίπτωση φορτώνει μια προσθήκη Waterbear που εκκινεί μια διαφορετική έκδοση του προγράμματος λήψης, η οποία στη συνέχεια ανακτά τη μονάδα RAT από άλλο διακομιστή C&C. Ουσιαστικά, το αρχικό Waterbear RAT χρησιμεύει ως πρόγραμμα λήψης plugin, ενώ το επόμενο λειτουργεί ως backdoor για τη συλλογή ευαίσθητων πληροφοριών από το παραβιασμένο σύστημα χρησιμοποιώντας 60 εντολές.

Οι μέθοδοι μόλυνσης από τη Δεύτερη αρκούδα μπορεί να αποφύγουν την ανίχνευση

Το Deuterbear ακολουθεί παρόμοια οδό μόλυνσης αλλά εισάγει ορισμένες τροποποιήσεις. Το πρώτο στάδιο χρησιμοποιεί έναν φορτωτή για την εκκίνηση ενός προγράμματος λήψης που συνδέεται με τον διακομιστή C&C για να ανακτήσει το Deuterbear RAT. Αυτό το ενδιάμεσο βήμα καθιερώνει την επιμονή μέσω ενός φορτωτή δεύτερου σταδίου μέσω πλευρικής φόρτωσης DLL. Αυτός ο φορτωτής εκτελεί στη συνέχεια ένα άλλο πρόγραμμα λήψης, το οποίο κατεβάζει ξανά το Deuterbear RAT για κλοπή δεδομένων. Οι ερευνητές σημειώνουν ότι μόνο το δεύτερο στάδιο του Deuterbear είναι τυπικά παρόν σε μολυσμένα συστήματα, καθώς όλα τα στοιχεία του πρώτου σταδίου αφαιρούνται μετά την εγκατάσταση, καθιστώντας την ανίχνευση και την ανάλυση πιο δύσκολη για τους ερευνητές απειλών.

Το Deuterbear είναι μια βελτιωμένη έκδοση του Waterbear, που διατηρεί λιγότερες εντολές αλλά ενσωματώνει μια προσέγγιση που βασίζεται σε πρόσθετα για πρόσθετη λειτουργικότητα. Η Trend Micro σημειώνει ότι το Waterbear και το Deuterbear έχουν εξελιχθεί ανεξάρτητα και όχι το ένα να αντικαθιστά το άλλο.

SugarGh0st RAT Στόχευση οργανισμών τεχνητής νοημοσύνης των ΗΠΑ

Σε σχετικές ειδήσεις, η Proofpoint παρουσίασε λεπτομερώς μια στοχευμένη εκστρατεία στον κυβερνοχώρο εναντίον αμερικανικών οργανισμών που εμπλέκονται στην τεχνητή νοημοσύνη, χρησιμοποιώντας ένα κακόβουλο λογισμικό που ονομάζεται SugarGh0st RAT. Αυτή η προσαρμοσμένη παραλλαγή του Gh0st RAT είχε στοχεύσει στο παρελθόν την Κεντρική και Ανατολική Ασία. Η επίθεση, που συνδέεται με έναν κινεζόφωνο παράγοντα απειλής, περιλαμβάνει μηνύματα ηλεκτρονικού ψαρέματος με περιεχόμενο με θέμα την τεχνητή νοημοσύνη για την παράδοση του ωφέλιμου φορτίου SugarGh0st μέσω ενός σταγονόμετρου JavaScript. Η εκστρατεία του Μαΐου του 2024 στόχευσε λιγότερα από δέκα άτομα, πιθανώς να κλέψουν μη δημόσιες πληροφορίες σχετικά με τη γενετική τεχνητή νοημοσύνη, εν μέσω αυξανόμενων προσπαθειών των ΗΠΑ να περιορίσουν την πρόσβαση της Κίνας σε τεχνολογίες τεχνητής νοημοσύνης.

Αυτό το πλαίσιο περιλαμβάνει την κατηγορία του Υπουργείου Δικαιοσύνης των ΗΠΑ κατά ενός πρώην μηχανικού λογισμικού της Google για κλοπή αποκλειστικών πληροφοριών για χρήση σε εταιρείες τεχνολογίας που συνδέονται με την τεχνητή νοημοσύνη στην Κίνα. Η εστίαση στις οντότητες τεχνητής νοημοσύνης των ΗΠΑ υποδηλώνει ένα στρατηγικό κίνητρο για την ενίσχυση της ανάπτυξης τεχνητής νοημοσύνης της Κίνας εν μέσω περιορισμένης πρόσβασης σε προηγμένες τεχνολογίες από κορυφαίες εταιρείες όπως η OpenAI και η Google DeepMind.