Deuterbear RAT utnyttet av kinesiske hackere for å lansere cyberspionasjekampanjer

Nyere cybersikkerhetsforskning har avslørt bruken av en fjerntilgangstrojaner (RAT) kalt Deuterbear av den Kina-tilknyttede BlackTech-hackinggruppen i deres cyberspionasjekampanjer i Asia-Stillehavsregionen.

I følge Trend Micro-forskerne Pierre Lee og Cyris Tseng, deler Deuterbear likheter med Waterbear malware, men inkluderer forbedringer som støtte for shellcode-plugins, unngåelse av håndtrykk under RAT-operasjon og bruk av HTTPS for kommando-og-kontroll (C&C) kommunikasjon . Bemerkelsesverdige fremskritt i Deuterbear over Waterbear inkluderer et shellcode-format, anti-minneskanningsfunksjoner og en delt trafikknøkkel med nedlasteren.

Deuterbear har andre bånd

BlackTech, aktiv siden minst 2007, er også kjent under forskjellige navn som Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn og Temp.Overboard. Historisk sett har denne gruppen distribuert Waterbear malware i nesten 15 år. Kampanjer observert siden oktober 2022 har imidlertid innlemmet den oppdaterte Deuterbear-varianten.

Waterbears metode innebærer å bruke en lappet legitim kjørbar for DLL-sidelasting for å starte en laster som dekrypterer og kjører en nedlaster, som deretter kontakter en C&C-server for å hente RAT-modulen. Modulen hentes to ganger fra angriperkontrollert infrastruktur: den første forekomsten laster en Waterbear-plugin som starter en annen versjon av nedlasteren, som deretter henter RAT-modulen fra en annen C&C-server. I hovedsak fungerer den første Waterbear RAT som en plugin-nedlaster, mens den påfølgende fungerer som en bakdør for å samle sensitiv informasjon fra det kompromitterte systemet ved hjelp av 60 kommandoer.

Deuterbear-infeksjonsmetoder kan unngå oppdagelse

Deuterbear følger en lignende infeksjonsvei, men introduserer visse modifikasjoner. Det første trinnet bruker en laster for å starte en nedlaster som kobles til C&C-serveren for å hente Deuterbear RAT. Dette mellomliggende trinnet etablerer utholdenhet gjennom en andre-trinns loader via DLL side-loading. Denne lasteren kjører deretter en annen nedlaster, som igjen laster ned Deuterbear RAT for datatyveri. Forskere bemerker at bare den andre fasen av Deuterbear vanligvis er tilstede på infiserte systemer, ettersom alle komponentene i første trinn fjernes etter installasjonen etter utholdenhet, noe som gjør deteksjon og analyse mer utfordrende for trusselforskere.

Deuterbear er en strømlinjeformet versjon av Waterbear, som beholder færre kommandoer, men inneholder en plugin-basert tilnærming for ekstra funksjonalitet. Trend Micro bemerker at Waterbear og Deuterbear har utviklet seg uavhengig i stedet for at den ene har erstattet den andre.

SugarGh0st RAT retter seg mot amerikanske AI-organisasjoner

I relaterte nyheter har Proofpoint detaljert en målrettet cyberkampanje mot amerikanske organisasjoner involvert i kunstig intelligens, ved å bruke en skadelig programvare kalt SugarGh0st RAT. Denne tilpassede varianten av Gh0st RAT har tidligere rettet seg mot Sentral- og Øst-Asia. Angrepet, knyttet til en kinesisktalende trusselaktør, involverer phishing-meldinger med AI-tema for å levere SugarGh0st-nyttelasten via en JavaScript-dropper. Kampanjen i mai 2024 var rettet mot færre enn ti individer, potensielt for å stjele ikke-offentlig informasjon om generativ AI, midt i økende amerikanske innsats for å begrense Kinas tilgang til AI-teknologier.

Denne konteksten inkluderer det amerikanske justisdepartementets tiltale mot en tidligere Google-programvareingeniør for å ha stjålet proprietær informasjon til bruk hos AI-tilknyttede teknologiselskaper i Kina. Fokuset på amerikanske AI-enheter antyder et strategisk motiv for å styrke Kinas AI-utvikling midt i begrenset tilgang til avansert teknologi fra ledende selskaper som OpenAI og Google DeepMind.