中国黑客利用 Deuterbear RAT 发起网络间谍活动

最近的网络安全研究发现，与中国有关的 BlackTech 黑客组织在亚太地区的网络间谍活动中使用了一种名为 Deuterbear 的远程访问木马 (RAT)。

据趋势科技研究人员 Pierre Lee 和 Cyris Tseng 称，Deuterbear 与 Waterbear 恶意软件有相似之处，但包含一些增强功能，例如支持 shellcode 插件、避免在 RAT 操作期间进行握手以及使用 HTTPS 进行命令和控制 (C&C) 通信。Deuterbear 相对于 Waterbear 的显著改进包括 shellcode 格式、反内存扫描功能以及与其下载器共享的流量密钥。

Deuterbear 还有其他关系

BlackTech 至少自 2007 年以来一直活跃，也有各种名称，例如 Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn 和 Temp.Overboard。从历史上看，该组织已经部署了 Waterbear 恶意软件近 15 年。然而，自 2022 年 10 月以来观察到的活动已经纳入了更新的 Deuterbear 变体。

Waterbear 的方法包括使用已修补的合法可执行文件进行 DLL 侧载，以启动加载程序，该加载程序解密并执行下载程序，然后该下载程序联系 C&C 服务器以检索 RAT 模块。该模块从攻击者控制的基础设施中获取两次：第一个实例加载 Waterbear 插件，该插件启动不同版本的下载程序，然后从另一个 C&C 服务器检索 RAT 模块。本质上，最初的 Waterbear RAT 充当插件下载程序，而后续的 RAT 充当后门，使用 60 个命令从受感染的系统中收集敏感信息。

Deuterbear 感染方法可能逃避检测

Deuterbear 遵循类似的感染途径，但引入了某些修改。第一阶段使用加载程序启动下载程序，该下载程序连接到 C&C 服务器以获取 Deuterbear RAT。此中间步骤通过 DLL 侧载通过第二阶段加载程序建立持久性。然后，此加载程序执行另一个下载程序，该下载程序再次下载 Deuterbear RAT 以窃取数据。研究人员指出，通常只有 Deuterbear 的第二阶段存在于受感染的系统中，因为所有第一阶段组件在持久性安装后都会被删除，这使得威胁研究人员的检测和分析更具挑战性。

Deuterbear 是 Waterbear 的精简版，保留了较少的命令，但采用了基于插件的方法以增加功能。趋势科技指出，Waterbear 和 Deuterbear 是独立发展的，而不是一个取代另一个。

SugarGh0st RAT 瞄准美国 AI 组织

在相关新闻中，Proofpoint 详细介绍了针对美国人工智能组织的针对性网络攻击活动，该活动使用一种名为 SugarGh0st RAT 的恶意软件。Gh0st RAT 的这种定制变体之前曾针对中亚和东亚。此次攻击与一名讲中文的威胁行为者有关，涉及以人工智能为主题内容的网络钓鱼消息，以通过 JavaScript 投放器传递 SugarGh0st 有效载荷。在美国加大力度限制中国获取人工智能技术的背景下，2024 年 5 月的活动针对不到 10 人，可能是为了窃取有关生成人工智能的非公开信息。

这一背景包括美国司法部起诉谷歌前软件工程师窃取专有信息，用于中国与人工智能相关的技术公司。在 OpenAI 和 Google DeepMind 等领先公司先进技术的获取受到限制的情况下，对美国人工智能实体的关注表明了支持中国人工智能发展的战略动机。