Deuterbear RAT sfruttato dagli hacker cinesi per lanciare campagne di spionaggio informatico

Recenti ricerche sulla sicurezza informatica hanno svelato l’uso di un trojan di accesso remoto (RAT) chiamato Deuterbear da parte del gruppo di hacker BlackTech legato alla Cina nelle loro campagne di spionaggio informatico nella regione Asia-Pacifico.

Secondo i ricercatori di Trend Micro Pierre Lee e Cyris Tseng, Deuterbear condivide somiglianze con il malware Waterbear ma include miglioramenti come il supporto per i plugin shellcode, l'eliminazione degli handshake durante il funzionamento RAT e l'uso di HTTPS per la comunicazione di comando e controllo (C&C). . I notevoli progressi di Deuterbear rispetto a Waterbear includono un formato shellcode, funzionalità di scansione anti-memoria e una chiave di traffico condivisa con il suo downloader.

Deuterbear ha altri legami

BlackTech, attiva almeno dal 2007, è conosciuta anche con vari nomi come Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard. Storicamente, questo gruppo ha utilizzato il malware Waterbear per quasi 15 anni. Tuttavia, le campagne osservate dall’ottobre 2022 hanno incorporato la variante Deuterbear aggiornata.

Il metodo di Waterbear prevede l'utilizzo di un eseguibile legittimo con patch per il caricamento laterale della DLL per avviare un caricatore che decrittografa ed esegue un downloader, che quindi contatta un server C&C per recuperare il modulo RAT. Il modulo viene recuperato due volte dall'infrastruttura controllata dall'aggressore: la prima istanza carica un plugin Waterbear che avvia una versione diversa del downloader, che poi recupera il modulo RAT da un altro server C&C. Essenzialmente, il primo Waterbear RAT funge da downloader di plugin, mentre quello successivo funge da backdoor per raccogliere informazioni sensibili dal sistema compromesso utilizzando 60 comandi.

I metodi di infezione di Deuterbear possono eludere il rilevamento

Deuterbear segue un percorso di infezione simile ma introduce alcune modifiche. La prima fase utilizza un caricatore per avviare un downloader che si connette al server C&C per recuperare Deuterbear RAT. Questo passaggio intermedio stabilisce la persistenza tramite un caricatore di seconda fase tramite caricamento laterale DLL. Questo caricatore esegue quindi un altro downloader, che scarica ancora una volta il Deuterbear RAT per il furto di dati. I ricercatori sottolineano che solo la seconda fase di Deuterbear è tipicamente presente sui sistemi infetti, poiché tutti i componenti della prima fase vengono rimossi dopo l'installazione della persistenza, rendendo il rilevamento e l'analisi più difficili per i ricercatori sulle minacce.

Deuterbear è una versione semplificata di Waterbear, che conserva meno comandi ma incorpora un approccio basato su plug-in per funzionalità aggiuntive. Trend Micro rileva che Waterbear e Deuterbear si sono evoluti in modo indipendente anziché sostituirsi l'uno all'altro.

SugarGh0st RAT prende di mira le organizzazioni statunitensi di intelligenza artificiale

Nelle notizie correlate, Proofpoint ha dettagliato una campagna informatica mirata contro le organizzazioni statunitensi coinvolte nell'intelligenza artificiale, utilizzando un malware chiamato SugarGh0st RAT. Questa variante personalizzata di Gh0st RAT ha precedentemente preso di mira l’Asia centrale e orientale. L'attacco, collegato a un hacker di lingua cinese, prevede messaggi di phishing con contenuti a tema AI per fornire il payload SugarGh0st tramite un dropper JavaScript. La campagna del maggio 2024 ha preso di mira meno di dieci individui, potenzialmente per rubare informazioni non pubbliche sull’intelligenza artificiale generativa, nel contesto dei crescenti sforzi degli Stati Uniti per limitare l’accesso della Cina alle tecnologie di intelligenza artificiale.

In questo contesto rientra l’accusa da parte del Dipartimento di Giustizia degli Stati Uniti di un ex ingegnere informatico di Google per aver rubato informazioni proprietarie da utilizzare presso aziende tecnologiche affiliate all’intelligenza artificiale in Cina. L’attenzione verso le entità statunitensi legate all’intelligenza artificiale suggerisce un motivo strategico per rafforzare lo sviluppo dell’intelligenza artificiale in Cina in un contesto di accesso limitato alle tecnologie avanzate di aziende leader come OpenAI e Google DeepMind.