Deuterbear RAT используется китайскими хакерами для запуска кампаний по кибершпионажу

Недавнее исследование кибербезопасности выявило использование трояна удаленного доступа (RAT) под названием Deuterbear связанной с Китаем хакерской группой BlackTech в своих кампаниях по кибершпионажу в Азиатско-Тихоокеанском регионе.

По мнению исследователей Trend Micro Пьера Ли и Сайриса Ценга, Deuterbear имеет сходство с вредоносным ПО Waterbear, но включает в себя такие улучшения, как поддержка плагинов шелл-кода, предотвращение рукопожатий во время работы RAT и использование HTTPS для связи командования и управления (C&C). . Заметные улучшения Deuterbear по сравнению с Waterbear включают формат шеллкода, возможности сканирования памяти и общий ключ трафика с его загрузчиком.

У Deuterbear есть и другие связи

BlackTech, действующая как минимум с 2007 года, также известна под разными названиями, такими как Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard. Исторически сложилось так, что эта группа использовала вредоносное ПО Waterbear в течение почти 15 лет. Однако кампании, наблюдаемые с октября 2022 года, включали обновленный вариант Deuterbear.

Метод Waterbear предполагает использование исправленного законного исполняемого файла для боковой загрузки DLL для запуска загрузчика, который расшифровывает и запускает загрузчик, который затем связывается с C&C-сервером для получения модуля RAT. Модуль дважды извлекается из инфраструктуры, контролируемой злоумышленниками: первый экземпляр загружает плагин Waterbear, который запускает другую версию загрузчика, который затем извлекает модуль RAT с другого C&C-сервера. По сути, первоначальная версия Waterbear RAT служит загрузчиком плагинов, а последующая действует как бэкдор для сбора конфиденциальной информации из скомпрометированной системы с помощью 60 команд.

Методы заражения Deuterbear могут избежать обнаружения

Deuterbear следует аналогичному пути заражения, но с некоторыми модификациями. На первом этапе загрузчик используется для запуска загрузчика, который подключается к C&C-серверу для загрузки Deuterbear RAT. Этот промежуточный шаг обеспечивает сохранение через загрузчик второго этапа посредством боковой загрузки DLL. Затем этот загрузчик запускает другой загрузчик, который снова загружает Deuterbear RAT для кражи данных. Исследователи отмечают, что в зараженных системах обычно присутствует только вторая стадия Deuterbear, поскольку все компоненты первой стадии удаляются после постоянной установки, что усложняет обнаружение и анализ угроз для исследователей угроз.

Deuterbear — это упрощенная версия Waterbear, сохранившая меньше команд, но включающая подход на основе плагинов для дополнительной функциональности. Trend Micro отмечает, что Waterbear и Deuterbear развивались независимо, а не заменяли друг друга.

SugarGh0st RAT нацелен на американские организации по искусственному интеллекту

В связанных новостях Proofpoint подробно описал целевую киберкампанию против американских организаций, занимающихся искусственным интеллектом, с использованием вредоносного ПО под названием SugarGh0st RAT. Этот модифицированный вариант Gh0st RAT ранее был нацелен на Центральную и Восточную Азию. Атака, связанная с китайскоязычным злоумышленником, включает в себя фишинговые сообщения с контентом на тему искусственного интеллекта для доставки полезных данных SugarGh0st через дроппер JavaScript. Кампания в мае 2024 года была нацелена менее чем на десять человек, потенциально с целью кражи закрытой информации о генеративном искусственном интеллекте на фоне растущих усилий США по ограничению доступа Китая к технологиям искусственного интеллекта.

Этот контекст включает в себя обвинение Министерства юстиции США бывшему инженеру-программисту Google в краже конфиденциальной информации для использования в технологических компаниях, связанных с искусственным интеллектом, в Китае. Акцент на американских организациях, занимающихся искусственным интеллектом, предполагает стратегический мотив для поддержки развития искусственного интеллекта в Китае на фоне ограниченного доступа к передовым технологиям от ведущих компаний, таких как OpenAI и Google DeepMind.