Deuterbear RAT aproveitado por hackers chineses para lançar campanhas de espionagem cibernética
Uma pesquisa recente sobre segurança cibernética revelou o uso de um trojan de acesso remoto (RAT) chamado Deuterbear pelo grupo de hackers BlackTech, ligado à China, em suas campanhas de espionagem cibernética na região da Ásia-Pacífico.
De acordo com os pesquisadores da Trend Micro, Pierre Lee e Cyris Tseng, o Deuterbear compartilha semelhanças com o malware Waterbear, mas inclui melhorias como suporte para plug-ins de shellcode, prevenção de apertos de mão durante a operação RAT e uso de HTTPS para comunicação de comando e controle (C&C). . Avanços notáveis no Deuterbear em relação ao Waterbear incluem um formato shellcode, recursos de varredura anti-memória e uma chave de tráfego compartilhada com seu downloader.
Table of Contents
Deuterbear tem outros laços
A BlackTech, ativa desde pelo menos 2007, também é conhecida por vários nomes, como Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard. Historicamente, este grupo implantou o malware Waterbear por quase 15 anos. No entanto, as campanhas observadas desde outubro de 2022 incorporaram a variante Deuterbear atualizada.
O método de Waterbear envolve o uso de um executável legítimo corrigido para carregamento lateral de DLL para iniciar um carregador que descriptografa e executa um downloader, que então entra em contato com um servidor C&C para recuperar o módulo RAT. O módulo é obtido duas vezes da infraestrutura controlada pelo invasor: a primeira instância carrega um plugin Waterbear que inicia uma versão diferente do downloader, que então recupera o módulo RAT de outro servidor C&C. Essencialmente, o Waterbear RAT inicial serve como um downloader de plugins, enquanto o subsequente atua como um backdoor para coletar informações confidenciais do sistema comprometido usando 60 comandos.
Os métodos de infecção por Deuterbear podem evitar a detecção
Deuterbear segue um caminho de infecção semelhante, mas introduz certas modificações. O primeiro estágio usa um carregador para iniciar um downloader que se conecta ao servidor C&C para buscar o Deuterbear RAT. Esta etapa intermediária estabelece persistência por meio de um carregador de segundo estágio por meio de carregamento lateral de DLL. Este carregador então executa outro downloader, que mais uma vez baixa o Deuterbear RAT para roubo de dados. Os pesquisadores observam que apenas o segundo estágio do Deuterbear está normalmente presente nos sistemas infectados, já que todos os componentes do primeiro estágio são removidos após a instalação de persistência, tornando a detecção e a análise mais desafiadoras para os pesquisadores de ameaças.
Deuterbear é uma versão simplificada do Waterbear, retendo menos comandos, mas incorporando uma abordagem baseada em plugin para funcionalidade adicional. A Trend Micro observa que Waterbear e Deuterbear evoluíram de forma independente, em vez de um substituir o outro.
SugarGh0st RAT visando organizações de IA dos EUA
Em notícias relacionadas, a Proofpoint detalhou uma campanha cibernética direcionada contra organizações dos EUA envolvidas em inteligência artificial, usando um malware chamado SugarGh0st RAT. Esta variante personalizada do Gh0st RAT já tinha como alvo a Ásia Central e Oriental. O ataque, vinculado a um ator de ameaça que fala chinês, envolve mensagens de phishing com conteúdo com tema de IA para entregar a carga útil do SugarGh0st por meio de um dropper JavaScript. A campanha de Maio de 2024 teve como alvo menos de dez indivíduos, potencialmente para roubar informações não públicas sobre IA generativa, no meio dos esforços crescentes dos EUA para limitar o acesso da China às tecnologias de IA.
Este contexto inclui a acusação do Departamento de Justiça dos EUA contra um ex-engenheiro de software do Google por roubar informações proprietárias para uso em empresas de tecnologia afiliadas à IA na China. O foco nas entidades de IA dos EUA sugere um motivo estratégico para reforçar o desenvolvimento da IA na China em meio ao acesso restrito a tecnologias avançadas de empresas líderes como OpenAI e Google DeepMind.
