Deuterbear RAT wordt door Chinese hackers ingezet om cyberspionagecampagnes te lanceren

Uit recent cyberveiligheidsonderzoek is gebleken dat de aan China gelinkte BlackTech-hackgroep een trojan voor externe toegang (RAT) genaamd Deuterbear gebruikt in hun cyberspionagecampagnes in de regio Azië-Pacific.

Volgens Trend Micro-onderzoekers Pierre Lee en Cyris Tseng deelt Deuterbear overeenkomsten met de Waterbear-malware, maar bevat het verbeteringen zoals ondersteuning voor shellcode-plug-ins, het vermijden van handdrukken tijdens RAT-werking en het gebruik van HTTPS voor command-and-control (C&C) communicatie. . Opmerkelijke verbeteringen in Deuterbear ten opzichte van Waterbear zijn onder meer een shellcode-formaat, anti-geheugenscanmogelijkheden en een gedeelde verkeerssleutel met de downloader.

Deuterbear heeft andere banden

BlackTech, actief sinds minstens 2007, is ook bekend onder verschillende namen zoals Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn en Temp.Overboard. Historisch gezien heeft deze groep de Waterbear-malware al bijna vijftien jaar ingezet. In de campagnes die sinds oktober 2022 zijn waargenomen, is echter de bijgewerkte Deuterbear-variant opgenomen.

De methode van Waterbear omvat het gebruik van een gepatcht legitiem uitvoerbaar bestand voor het side-loaden van DLL om een lader te starten die een downloader decodeert en uitvoert, die vervolgens contact maakt met een C&C-server om de RAT-module op te halen. De module wordt twee keer opgehaald uit de door de aanvaller gecontroleerde infrastructuur: de eerste instantie laadt een Waterbear-plug-in die een andere versie van de downloader start, die vervolgens de RAT-module van een andere C&C-server ophaalt. In wezen dient de eerste Waterbear RAT als een plug-in-downloader, terwijl de daaropvolgende fungeert als een achterdeur om gevoelige informatie van het aangetaste systeem te verzamelen met behulp van 60 opdrachten.

Deuterbear-infectiemethoden kunnen detectie omzeilen

Deuterbear volgt een soortgelijk infectiepad, maar introduceert bepaalde wijzigingen. In de eerste fase wordt een lader gebruikt om een downloader te starten die verbinding maakt met de C&C-server om Deuterbear RAT op te halen. Deze tussenstap zorgt voor persistentie via een tweede fase-lader via DLL-zijladen. Deze lader voert vervolgens een andere downloader uit, die opnieuw de Deuterbear RAT downloadt voor gegevensdiefstal. Onderzoekers merken op dat alleen de tweede fase van Deuterbear doorgaans aanwezig is op geïnfecteerde systemen, omdat alle componenten van de eerste fase na de persistentie-installatie worden verwijderd, waardoor detectie en analyse een grotere uitdaging worden voor onderzoekers van bedreigingen.

Deuterbear is een gestroomlijnde versie van Waterbear, die minder opdrachten bevat, maar een op plug-ins gebaseerde aanpak bevat voor extra functionaliteit. Trend Micro merkt op dat Waterbear en Deuterbear onafhankelijk van elkaar zijn geëvolueerd en dat de een de ander niet heeft vervangen.

SugarGh0st RAT richt zich op Amerikaanse AI-organisaties

In gerelateerd nieuws heeft Proofpoint een gerichte cybercampagne beschreven tegen Amerikaanse organisaties die zich bezighouden met kunstmatige intelligentie, waarbij gebruik wordt gemaakt van een malware genaamd SugarGh0st RAT. Deze aangepaste variant van Gh0st RAT richtte zich voorheen op Centraal- en Oost-Azië. De aanval, gekoppeld aan een Chineessprekende bedreigingsacteur, omvat phishing-berichten met inhoud met een AI-thema om de SugarGh0st-payload via een JavaScript-dropper af te leveren. De campagne van mei 2024 was gericht op minder dan tien personen, mogelijk om niet-openbare informatie over generatieve AI te stelen, te midden van toenemende Amerikaanse inspanningen om de toegang van China tot AI-technologieën te beperken.

Deze context omvat onder meer de aanklacht van het Amerikaanse ministerie van Justitie tegen een voormalige software-ingenieur van Google wegens het stelen van bedrijfseigen informatie voor gebruik bij aan AI gelieerde technologiebedrijven in China. De focus op Amerikaanse AI-entiteiten suggereert een strategisch motief om de Chinese AI-ontwikkeling te ondersteunen, te midden van beperkte toegang tot geavanceerde technologieën van toonaangevende bedrijven als OpenAI en Google DeepMind.