Deuterbear RAT pasinaudojo Kinijos įsilaužėliai, kad pradėtų kibernetinio šnipinėjimo kampanijas
Naujausi kibernetinio saugumo tyrimai atskleidė, kad su Kinija susijusi BlackTech įsilaužimo grupė savo kibernetinio šnipinėjimo kampanijose Azijos ir Ramiojo vandenyno regione naudoja nuotolinės prieigos Trojos arklį (RAT), pavadintą Deuterbear.
Pasak „Trend Micro“ tyrėjų Pierre'o Lee ir Cyriso Tsengo, „Deuterbear“ turi panašumų su „Waterbear“ kenkėjiška programa, tačiau apima patobulinimus, tokius kaip apvalkalo kodo papildinių palaikymas, rankų paspaudimų išvengimas RAT veikimo metu ir HTTPS naudojimas komandų ir valdymo (C&C) ryšiui. . Svarbūs „Deuterbear“ pažanga, palyginti su „Waterbear“, apima apvalkalo kodo formatą, apsaugos nuo atminties nuskaitymo galimybes ir bendrinamą srauto raktą su atsisiuntimo priemone.
Table of Contents
Deuterbear turi kitų ryšių
„BlackTech“, veikianti mažiausiai nuo 2007 m., taip pat žinoma įvairiais pavadinimais, tokiais kaip Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn ir Temp.Overboard. Istoriškai ši grupė „Waterbear“ kenkėjišką programą įdiegė beveik 15 metų. Tačiau nuo 2022 m. spalio mėn. stebimose kampanijose buvo įtrauktas atnaujintas „Deuterbear“ variantas.
„Waterbear“ metodas apima pataisyto teisėto vykdomojo failo naudojimą DLL šoniniam įkėlimui, kad būtų paleista įkroviklis, kuris iššifruoja ir vykdo atsisiuntimo programą, kuri vėliau susisiekia su C&C serveriu, kad gautų RAT modulį. Modulis du kartus paimamas iš užpuoliko valdomos infrastruktūros: pirmasis atvejis įkelia „Waterbear“ papildinį, kuris paleidžia kitą atsisiuntimo programos versiją, kuri tada nuskaito RAT modulį iš kito C&C serverio. Iš esmės pradinis „Waterbear RAT“ naudojamas kaip įskiepių atsisiuntimo priemonė, o vėlesnė – kaip užpakalinės durys, kad būtų galima rinkti neskelbtiną informaciją iš pažeistos sistemos naudojant 60 komandų.
Deuterbear infekcijos metodai gali išvengti aptikimo
Deuterbear seka panašų infekcijos kelią, tačiau įveda tam tikrų modifikacijų. Pirmajame etape naudojamas įkroviklis, kad paleistų atsisiuntimo programą, kuri prisijungia prie C&C serverio, kad gautų Deuterbear RAT. Šis tarpinis veiksmas užtikrina patvarumą per antrosios pakopos įkroviklį per DLL šoninį įkėlimą. Tada šis įkroviklis vykdo kitą atsisiuntimo programą, kuri dar kartą atsisiunčia „Deuterbear RAT“ duomenų vagystei. Tyrėjai pažymi, kad užkrėstose sistemose paprastai yra tik antrasis Deuterbear etapas, nes visi pirmosios pakopos komponentai pašalinami po nuolatinio įdiegimo, todėl grėsmių tyrinėtojams aptikimas ir analizė tampa sudėtingesni.
„Deuterbear“ yra supaprastinta „Waterbear“ versija, išlaikanti mažiau komandų, tačiau apimanti papildiniu pagrįstą metodą, kad būtų galima atlikti daugiau funkcijų. „Trend Micro“ pažymi, kad „Waterbear“ ir „Deuterbear“ vystėsi atskirai, o ne vienas pakeitė kitą.
SugarGh0st RAT, skirta JAV AI organizacijoms
Susijusiose naujienose „Proofpoint“ išsamiai išdėstė tikslinę kibernetinę kampaniją prieš JAV organizacijas, susijusias su dirbtiniu intelektu, naudodamas kenkėjišką programą, pavadintą „SugarGh0st RAT“. Šis pritaikytas Gh0st RAT variantas anksčiau buvo skirtas Centrinei ir Rytų Azijai. Ataka, susijusi su kiniškai kalbančiu grėsmės veikėju, apima sukčiavimo pranešimus su AI teminiu turiniu, siekiant perduoti „SugarGh0st“ naudingą apkrovą per „JavaScript“ lašintuvą. 2024 m. gegužės mėn. kampanija buvo skirta mažiau nei dešimčiai asmenų, galinčių pavogti neviešą informaciją apie generatyvųjį AI, didėjant JAV pastangoms apriboti Kinijos prieigą prie AI technologijų.
Šis kontekstas apima JAV teisingumo departamento kaltinimą buvusiam „Google“ programinės įrangos inžinieriui dėl nuosavybės informacijos, skirtos naudoti su AI susijusiose technologijų įmonėse Kinijoje, vagyste. Dėmesys JAV AI subjektams rodo strateginį motyvą sustiprinti Kinijos dirbtinio intelekto plėtrą, esant ribotai prieigai prie pažangių technologijų iš pirmaujančių įmonių, tokių kaip OpenAI ir Google DeepMind.
