A kínai hackerek a Deuterbear RAT-ot kihasználva kiberkémkedési kampányokat indítanak

A közelmúltbeli kiberbiztonsági kutatások bemutatták, hogy a Kínához köthető BlackTech hackercsoport a Deuterbear nevű távoli hozzáférésű trójai programot (RAT) használ kiberkémkedési kampányai során az ázsiai-csendes-óceáni térségben.

A Trend Micro kutatói, Pierre Lee és Cyris Tseng szerint a Deuterbear hasonlóságokat mutat a Waterbear kártevővel, de olyan fejlesztéseket tartalmaz, mint például a shellkód-bővítmények támogatása, a kézfogások elkerülése a RAT működése közben, valamint a HTTPS használata a parancs- és vezérlés (C&C) kommunikációhoz. . A Deuterbear figyelemreméltó előrelépései a Waterbear-hez képest többek között a shellcode-formátum, a memória-ellenőrzési képességek és a letöltővel megosztott forgalmi kulcs.

Deuterbearnek más kapcsolatai vannak

A legalább 2007 óta működő BlackTech különféle neveken is ismert, például Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn és Temp.Overboard. Történelmileg ez a csoport közel 15 éve telepítette a Waterbear kártevőt. A 2022 októbere óta megfigyelt kampányok azonban beépítették a frissített Deuterbear változatot.

A Waterbear módszere szerint a DLL oldalbetöltéséhez egy javított, törvényes végrehajtható fájlt használnak egy betöltő elindításához, amely visszafejti és végrehajtja a letöltőt, amely ezután kapcsolatba lép a C&C szerverrel a RAT modul lekérése érdekében. A modul kétszer kerül lehívásra a támadók által vezérelt infrastruktúráról: az első példány betölt egy Waterbear beépülő modult, amely elindítja a letöltő egy másik verzióját, amely aztán lekéri a RAT modult egy másik C&C szerverről. Lényegében a kezdeti Waterbear RAT beépülő modul letöltőként szolgál, míg a következő egy hátsó ajtóként működik, hogy 60 paranccsal gyűjtse össze az érzékeny információkat a feltört rendszerről.

A Deuterbear fertőzés módszerei elkerülhetik az észlelést

A Deuterbear hasonló fertőzési utat követ, de bizonyos módosításokat vezet be. Az első szakasz egy betöltő segítségével elindít egy letöltőt, amely csatlakozik a C&C szerverhez a Deuterbear RAT letöltéséhez. Ez a közbenső lépés biztosítja a fennmaradást egy második lépcsős betöltőn keresztül a DLL oldalbetöltésén keresztül. Ez a betöltő ezután egy másik letöltőt hajt végre, amely ismét letölti a Deuterbear RAT-ot adatlopás céljából. A kutatók megjegyzik, hogy a fertőzött rendszereken jellemzően csak a Deuterbear második szakasza van jelen, mivel a telepítés után eltávolítják az összes első fázisú összetevőt, ami nagyobb kihívást jelent a fenyegetéskutatók számára az észlelés és elemzés.

A Deuterbear a Waterbear egy egyszerűsített változata, amely kevesebb parancsot tart meg, de beépülő modul-alapú megközelítést tartalmaz a további funkciók érdekében. A Trend Micro megjegyzi, hogy a Waterbear és a Deuterbear egymástól függetlenül fejlődtek, és nem váltották fel a másikat.

A SugarGh0st RAT az Egyesült Államok mesterséges intelligencia-szervezeteit célozza meg

A kapcsolódó hírekben a Proofpoint egy célzott kiberkampányt részletezett a mesterséges intelligenciával foglalkozó amerikai szervezetek ellen, a SugarGh0st RAT nevű kártevő segítségével. A Gh0st RAT testreszabott változata korábban Közép- és Kelet-Ázsiát célozta meg. A kínaiul beszélő fenyegetés szereplőjéhez köthető támadás mesterséges intelligencia témájú tartalommal rendelkező adathalász üzeneteket tartalmaz, amelyek a SugarGh0st hasznos terhelést JavaScript-cseppentőn keresztül juttatják el. A 2024. májusi kampány kevesebb, mint tíz személyt célzott meg, hogy nem nyilvános információkat lopjanak el a generatív AI-ról, miközben az Egyesült Államok egyre több erőfeszítést tesz Kína AI-technológiákhoz való hozzáférésének korlátozására.

Ez a kontextus magában foglalja az Egyesült Államok Igazságügyi Minisztériumának vádemelését a Google egykori szoftvermérnöke ellen, amiért védett információkat lopott, amelyeket mesterséges intelligencia-kapcsolt kínai technológiai vállalatoknál használtak fel. Az amerikai mesterséges intelligencia entitásokra való összpontosítás stratégiai indítékot sugall Kína mesterséges intelligencia fejlesztésének támogatására, miközben korlátozott hozzáférést biztosítanak a vezető vállalatok, például az OpenAI és a Google DeepMind fejlett technológiáihoz.