Deuterbear RAT utnyttjas av kinesiska hackare för att lansera cyberspionagekampanjer
Nyare cybersäkerhetsforskning har avslöjat användningen av en fjärråtkomsttrojan (RAT) vid namn Deuterbear av den Kina-länkade BlackTech-hackinggruppen i deras cyberspionagekampanjer inom Asien-Stillahavsområdet.
Enligt Trend Micros forskare Pierre Lee och Cyris Tseng delar Deuterbear likheter med Waterbear malware men inkluderar förbättringar som stöd för shellcode plugins, undvikande av handskakningar under RAT-drift och användningen av HTTPS för kommando-och-kontroll (C&C) kommunikation . Anmärkningsvärda framsteg i Deuterbear jämfört med Waterbear inkluderar ett skalkodsformat, anti-minnesskanningsfunktioner och en delad trafiknyckel med dess nedladdare.
Table of Contents
Deuterbear har andra band
BlackTech, aktiv sedan åtminstone 2007, är också känd under olika namn som Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn och Temp.Overboard. Historiskt sett har den här gruppen distribuerat skadlig programvara Waterbear i nästan 15 år. Kampanjer som observerats sedan oktober 2022 har dock införlivat den uppdaterade Deuterbear-varianten.
Waterbears metod innebär att man använder en korrigerad legitim körbar fil för DLL-sidoladdning för att starta en laddare som dekrypterar och exekverar en nedladdare, som sedan kontaktar en C&C-server för att hämta RAT-modulen. Modulen hämtas två gånger från angriparkontrollerad infrastruktur: den första instansen laddar ett Waterbear-plugin som startar en annan version av nedladdaren, som sedan hämtar RAT-modulen från en annan C&C-server. I huvudsak fungerar den initiala Waterbear RAT som en plugin-nedladdare, medan den efterföljande fungerar som en bakdörr för att samla in känslig information från det komprometterade systemet med hjälp av 60 kommandon.
Deuterbear-infektionsmetoder kan undvika upptäckt
Deuterbear följer en liknande infektionsväg men introducerar vissa modifieringar. Det första steget använder en laddare för att starta en nedladdare som ansluter till C&C-servern för att hämta Deuterbear RAT. Detta mellanliggande steg etablerar uthållighet genom en andrastegsladdning via DLL-sidoladdning. Den här laddaren kör sedan en annan nedladdare, som återigen laddar ner Deuterbear RAT för datastöld. Forskare noterar att endast det andra steget av Deuterbear vanligtvis finns på infekterade system, eftersom alla komponenter i första steget tas bort efter en permanent installation, vilket gör upptäckt och analys mer utmanande för hotforskare.
Deuterbear är en strömlinjeformad version av Waterbear, som behåller färre kommandon men innehåller ett plugin-baserat tillvägagångssätt för extra funktionalitet. Trend Micro noterar att Waterbear och Deuterbear har utvecklats oberoende av varandra snarare än att den ena ersätter den andra.
SugarGh0st RAT inriktad på amerikanska AI-organisationer
I relaterade nyheter har Proofpoint detaljerat en riktad cyberkampanj mot amerikanska organisationer som är involverade i artificiell intelligens, med hjälp av en skadlig kod som kallas SugarGh0st RAT. Denna skräddarsydda variant av Gh0st RAT har tidigare riktat sig mot Central- och Östasien. Attacken, kopplad till en kinesisktalande hotaktör, involverar nätfiskemeddelanden med AI-tema för att leverera SugarGh0st-nyttolasten via en JavaScript-dropp. Kampanjen i maj 2024 riktade sig till färre än tio individer, potentiellt för att stjäla icke-offentlig information om generativ AI, mitt i ökande amerikanska ansträngningar för att begränsa Kinas tillgång till AI-teknik.
Detta sammanhang inkluderar det amerikanska justitiedepartementets åtal mot en före detta programvaruingenjör från Google för att ha stulit proprietär information för att använda på AI-anslutna teknikföretag i Kina. Fokus på amerikanska AI-enheter antyder ett strategiskt motiv för att stärka Kinas AI-utveckling mitt i begränsad tillgång till avancerad teknik från ledande företag som OpenAI och Google DeepMind.
