中国ハッカーがサイバースパイ活動にDeuterbear RATを活用

最近のサイバーセキュリティ研究により、中国と関係のあるハッキンググループ「BlackTech」がアジア太平洋地域でサイバースパイ活動に「Deuterbear」というリモートアクセス型トロイの木馬(RAT)を使用していることが明らかになった。

トレンドマイクロの研究者 Pierre Lee 氏と Cyris Tseng 氏によると、Deuterbear は Waterbear マルウェアと類似点があるものの、シェルコード プラグインのサポート、RAT 動作中のハンドシェイクの回避、コマンド アンド コントロール (C&C) 通信での HTTPS の使用などの機能強化が加えられているとのことです。Waterbear と比較した Deuterbear の注目すべき進歩には、シェルコード形式、メモリ スキャン対策機能、ダウンローダーとのトラフィック キーの共有などがあります。

ドイターベアには他のつながりもある

BlackTech は少なくとも 2007 年から活動しており、Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn、Temp.Overboard など、さまざまな名前でも知られています。歴史的に、このグループは 15 年近くにわたって Waterbear マルウェアを展開してきました。ただし、2022 年 10 月以降に確認されたキャンペーンには、更新された Deuterbear の亜種が組み込まれています。

Waterbear の手法では、DLL サイドローディング用のパッチを当てた正規の実行ファイルを使用してローダーを起動し、ダウンローダーを復号して実行します。その後、ダウンローダーは C&C サーバーに接続して RAT モジュールを取得します。モジュールは、攻撃者が管理するインフラストラクチャから 2 回取得されます。最初のインスタンスは、別のバージョンのダウンローダーを起動する Waterbear プラグインをロードし、別の C&C サーバーから RAT モジュールを取得します。基本的に、最初の Waterbear RAT はプラグイン ダウンローダーとして機能し、後続の RAT はバックドアとして機能して、60 個のコマンドを使用して侵害されたシステムから機密情報を収集します。

デューターベアの感染方法は検出を逃れる可能性がある

Deuterbear は同様の感染経路を辿りますが、特定の変更が加えられています。第 1 段階では、ローダーを使用してダウンローダーを起動し、C&C サーバーに接続して Deuterbear RAT を取得します。この中間ステップでは、DLL サイドローディングを介して第 2 段階のローダーを介して永続性を確立します。次に、このローダーは別のダウンローダーを実行し、これが再び Deuterbear RAT をダウンロードしてデータを盗みます。研究者は、感染したシステムには Deuterbear の第 2 段階のみが存在するのが一般的であると指摘しています。永続性のインストール後に第 1 段階のコンポーネントはすべて削除されるため、脅威研究者にとって検出と分析がより困難になります。

Deuterbear は Waterbear の簡素化されたバージョンで、コマンドは少なくなっていますが、プラグインベースのアプローチを採用して機能が追加されています。トレンドマイクロは、Waterbear と Deuterbear はどちらかが他方を置き換えるのではなく、独立して進化したと指摘しています。

米国の AI 組織を標的とする SugarGh0st RAT

関連ニュースとして、Proofpoint は、SugarGh0st RAT と呼ばれるマルウェアを使用して、人工知能に携わる米国の組織を標的としたサイバー攻撃の詳細を発表しました。このカスタマイズされた Gh0st RAT の亜種は、これまで中央アジアと東アジアを標的にしてきました。中国語を話す脅威アクターと関連しているこの攻撃では、AI をテーマにしたコンテンツを含むフィッシング メッセージを使用して、JavaScript ドロッパーを介して SugarGh0st ペイロードを配信します。2024 年 5 月の攻撃は、米国の AI 技術への中国のアクセス制限の取り組みが強化される中、10 人未満の個人を標的とし、生成 AI に関する非公開情報を盗むことが目的だった可能性があります。

この背景には、米司法省が、中国のAI関連技術企業で使用すべく専有情報を盗んだとして、元Googleソフトウェアエンジニアを起訴したことも含まれる。米国のAI関連企業に焦点が当てられているのは、OpenAIやGoogle DeepMindなどの大手企業の先進技術へのアクセスが制限される中で、中国のAI開発を強化しようという戦略的な動機を示唆している。

Zane
May 20, 2024
マルウェア
日本語
May 20, 2024
マルウェア

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。