Deuterbear RAT wykorzystany przez chińskich hakerów do uruchomienia kampanii cyberszpiegoskich

Niedawne badania nad cyberbezpieczeństwem ujawniły wykorzystanie trojana zdalnego dostępu (RAT) o nazwie Deuterbear przez powiązaną z Chinami grupę hakerską BlackTech w swoich kampaniach cyberszpiegowskich w regionie Azji i Pacyfiku.

Według badaczy Trend Micro, Pierre’a Lee i Cyrisa Tsenga, Deuterbear ma podobieństwa ze złośliwym oprogramowaniem Waterbear, ale zawiera ulepszenia, takie jak obsługa wtyczek z kodem powłoki, unikanie uzgadniania podczas operacji RAT oraz wykorzystanie protokołu HTTPS do komunikacji typu „dowodzenie i kontrola” (C&C). . Godne uwagi postępy w Deuterbear w stosunku do Waterbear obejmują format kodu powłoki, możliwości skanowania pamięci i współdzielony klucz ruchu z narzędziem pobierającym.

Deuterbear ma inne powiązania

BlackTech, aktywny od co najmniej 2007 roku, jest również znany pod różnymi nazwami, takimi jak Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn i Temp.Overboard. Historycznie rzecz biorąc, grupa ta wdrażała szkodliwe oprogramowanie Waterbear przez prawie 15 lat. Jednak kampanie obserwowane od października 2022 roku obejmowały zaktualizowany wariant Deuterbeara.

Metoda Waterbeara polega na użyciu załatanego, legalnego pliku wykonywalnego do bocznego ładowania biblioteki DLL w celu uruchomienia modułu ładującego, który odszyfrowuje i uruchamia moduł pobierania, który następnie kontaktuje się z serwerem C&C w celu pobrania modułu RAT. Moduł jest pobierany dwukrotnie z infrastruktury kontrolowanej przez atakującego: za pierwszym razem ładuje wtyczkę Waterbear, która uruchamia inną wersję modułu pobierania, który następnie pobiera moduł RAT z innego serwera kontroli. Zasadniczo początkowy Waterbear RAT służy jako narzędzie do pobierania wtyczek, podczas gdy kolejny działa jako backdoor umożliwiający zbieranie poufnych informacji z zaatakowanego systemu za pomocą 60 poleceń.

Metody infekcji Deuterbearem mogą uniknąć wykrycia

Deuterbear podąża podobną ścieżką infekcji, ale wprowadza pewne modyfikacje. Pierwszy etap wykorzystuje moduł ładujący do uruchomienia modułu pobierania, który łączy się z serwerem C&C w celu pobrania Deuterbear RAT. Ten krok pośredni ustanawia trwałość za pomocą modułu ładującego drugiego etapu poprzez boczne ładowanie biblioteki DLL. Następnie ten moduł ładujący uruchamia inny program pobierający, który ponownie pobiera Deuterbear RAT w celu kradzieży danych. Badacze zauważają, że w zainfekowanych systemach zwykle występuje tylko drugi etap Deuterbeara, ponieważ wszystkie komponenty pierwszego etapu są usuwane po instalacji, co utrudnia badaczom zagrożeń wykrywanie i analizę.

Deuterbear to uproszczona wersja Waterbear, zachowująca mniej poleceń, ale wykorzystująca podejście oparte na wtyczkach w celu zapewnienia dodatkowej funkcjonalności. Trend Micro zauważa, że Waterbear i Deuterbear ewoluowały niezależnie, a nie zastępowały siebie nawzajem.

SugarGh0st RAT atakujący amerykańskie organizacje zajmujące się sztuczną inteligencją

W powiązanych wiadomościach Proofpoint szczegółowo opisał ukierunkowaną kampanię cybernetyczną skierowaną przeciwko amerykańskim organizacjom zajmującym się sztuczną inteligencją, wykorzystującą złośliwe oprogramowanie o nazwie SugarGh0st RAT. Ten dostosowany wariant Gh0st RAT był wcześniej atakowany w Azji Środkowej i Wschodniej. Atak, powiązany z chińskojęzycznym ugrupowaniem zagrażającym, obejmuje wiadomości phishingowe zawierające treść związaną z sztuczną inteligencją w celu dostarczenia ładunku SugarGh0st za pośrednictwem droppera JavaScript. Kampania z maja 2024 r. była skierowana do mniej niż dziesięciu osób i miała potencjalnie ukraść niepubliczne informacje na temat generatywnej sztucznej inteligencji w kontekście rosnących wysiłków Stanów Zjednoczonych na rzecz ograniczenia dostępu Chin do technologii sztucznej inteligencji.

Kontekst ten obejmuje akt oskarżenia Departamentu Sprawiedliwości Stanów Zjednoczonych wobec byłego inżyniera oprogramowania Google za kradzież informacji zastrzeżonych w celu wykorzystania ich w chińskich firmach technologicznych powiązanych ze sztuczną inteligencją. Skupienie się na amerykańskich podmiotach zajmujących się sztuczną inteligencją sugeruje strategiczny motyw polegający na wspieraniu rozwoju sztucznej inteligencji w Chinach przy ograniczonym dostępie do zaawansowanych technologii wiodących firm, takich jak OpenAI i Google DeepMind.