Deuterbear RAT exploité par des pirates informatiques chinois pour lancer des campagnes de cyberespionnage

Des recherches récentes sur la cybersécurité ont révélé l'utilisation d'un cheval de Troie d'accès à distance (RAT) nommé Deuterbear par le groupe de piratage BlackTech lié à la Chine dans ses campagnes de cyberespionnage dans la région Asie-Pacifique.

Selon Pierre Lee et Cyris Tseng, chercheurs de Trend Micro, Deuterbear partage des similitudes avec le malware Waterbear mais inclut des améliorations telles que la prise en charge des plugins shellcode, l'évitement des poignées de main pendant le fonctionnement du RAT et l'utilisation de HTTPS pour la communication de commande et de contrôle (C&C). . Les avancées notables de Deuterbear par rapport à Waterbear incluent un format de shellcode, des capacités d'analyse anti-mémoire et une clé de trafic partagée avec son téléchargeur.

Deuterbear a d’autres liens

BlackTech, actif depuis au moins 2007, est également connu sous divers noms tels que Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn et Temp.Overboard. Historiquement, ce groupe déploie le malware Waterbear depuis près de 15 ans. Cependant, les campagnes observées depuis octobre 2022 ont intégré la variante Deuterbear mise à jour.

La méthode de Waterbear implique l'utilisation d'un exécutable légitime corrigé pour le chargement latéral de DLL afin de lancer un chargeur qui déchiffre et exécute un téléchargeur, qui contacte ensuite un serveur C&C pour récupérer le module RAT. Le module est récupéré deux fois depuis l'infrastructure contrôlée par l'attaquant : la première instance charge un plugin Waterbear qui lance une version différente du téléchargeur, qui récupère ensuite le module RAT depuis un autre serveur C&C. Essentiellement, le Waterbear RAT initial sert de téléchargeur de plugin, tandis que le suivant agit comme une porte dérobée pour collecter des informations sensibles du système compromis à l'aide de 60 commandes.

Les méthodes d’infection par Deuterbear peuvent échapper à la détection

Deuterbear suit une voie d’infection similaire mais introduit certaines modifications. La première étape utilise un chargeur pour lancer un téléchargeur qui se connecte au serveur C&C pour récupérer Deuterbear RAT. Cette étape intermédiaire établit la persistance via un chargeur de deuxième étape via le chargement latéral de DLL. Ce chargeur exécute ensuite un autre téléchargeur, qui télécharge à nouveau le Deuterbear RAT pour le vol de données. Les chercheurs notent que seule la deuxième étape de Deuterbear est généralement présente sur les systèmes infectés, car tous les composants de la première étape sont supprimés après l'installation de persistance, ce qui rend la détection et l'analyse plus difficiles pour les chercheurs en menaces.

Deuterbear est une version simplifiée de Waterbear, conservant moins de commandes mais incorporant une approche basée sur des plugins pour des fonctionnalités supplémentaires. Trend Micro note que Waterbear et Deuterbear ont évolué indépendamment plutôt que l'un se remplaçant.

SugarGh0st RAT ciblant les organisations américaines d’IA

Dans le même ordre d’idées, Proofpoint a détaillé une cyber-campagne ciblée contre des organisations américaines impliquées dans l’intelligence artificielle, utilisant un malware appelé SugarGh0st RAT. Cette variante personnalisée de Gh0st RAT ciblait auparavant l’Asie centrale et orientale. L'attaque, liée à un acteur menaçant parlant chinois, implique des messages de phishing avec un contenu sur le thème de l'IA pour transmettre la charge utile SugarGh0st via un compte-gouttes JavaScript. La campagne de mai 2024 ciblait moins de dix personnes, potentiellement dans le but de voler des informations non publiques sur l'IA générative, dans un contexte d'efforts croissants des États-Unis pour limiter l'accès de la Chine aux technologies d'IA.

Ce contexte inclut l'inculpation par le ministère américain de la Justice d'un ancien ingénieur logiciel de Google pour avoir volé des informations exclusives destinées à des entreprises technologiques affiliées à l'IA en Chine. L'accent mis sur les entités américaines d'IA suggère une motivation stratégique pour soutenir le développement de l'IA en Chine dans un contexte d'accès restreint aux technologies avancées d'entreprises de premier plan comme OpenAI et Google DeepMind.

Par Zane
May 20, 2024
Malware
Français
May 20, 2024
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.