中國駭客利用 Deuterbear RAT 發起網路間諜活動

最近的網路安全研究揭示了與中國有關的 BlackTech 駭客組織在亞太地區的網路間諜活動中使用了名為 Deuterbear 的遠端存取木馬 (RAT)。

根據趨勢科技研究人員Pierre Lee 和Cyris Tseng 的說法，Deuterbear 與Waterbear 惡意軟體有相似之處，但包含一些增強功能，例如支援shellcode 外掛程式、在RAT 操作期間避免握手以及使用HTTPS 進行命令和控制(C&C)通信。 Deuterbear 相對於 Waterbear 的顯著改進包括 shellcode 格式、反記憶體掃描功能以及與其下載器共享的流量金鑰。

Deuterbear 還有其他聯繫

BlackTech 至少從 2007 年開始活躍，也有各種名稱，例如 Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn 和 Temp.Overboard。從歷史上看，該組織部署 Waterbear 惡意軟體已有近 15 年的時間。然而，自 2022 年 10 月以來觀察到的活動已包含更新的 Deuterbear 變體。

Waterbear 的方法涉及使用修補的合法可執行檔進行 DLL 側面載入來啟動載入程序，該載入程式解密並執行下載程序，然後聯絡 C&C 伺服器以檢索 RAT 模組。該模組從攻擊者控制的基礎設施中獲取兩次：第一個實例加載一個 Waterbear 插件，該插件啟動不同版本的下載器，然後從另一個 C&C 伺服器檢索 RAT 模組。本質上，最初的 Waterbear RAT 充當插件下載器，而後續的 RAT 充當後門，使用 60 個命令從受感染的系統收集敏感資訊。

Deuterbear 感染方法可能會逃避檢測

Deuterbear 遵循類似的感染途徑，但引入了某些修改。第一階段使用載入程式啟動下載程序，該下載程序連接到 C&C 伺服器以取得 Deuterbear RAT。此中間步驟透過 DLL 側面載入的第二階段載入程式建立持久性。然後，該載入程式執行另一個下載程序，該下載程序再次下載 Deuterbear RAT 以進行資料竊取。研究人員指出，受感染的系統上通常只存在 Deuterbear 的第二階段，因為所有第一階段的組件在持久性安裝後都會被刪除，這使得檢測和分析對威脅研究人員來說更具挑戰性。

Deuterbear 是 Waterbear 的簡化版本，保留了較少的命令，但結合了基於插件的方法來增加功能。趨勢科技指出，Waterbear 和 Deuterbear 是獨立發展的，而不是取代另一個。

SugarGh0st RAT 針對美國人工智慧組織

在相關新聞中，Proofpoint 詳細介紹了一項針對參與人工智慧的美國組織的有針對性的網路活動，該活動使用了一種名為 SugarGh0st RAT 的惡意軟體。這種客製化的 Gh0st RAT 變種先前曾針對中亞和東亞地區。該攻擊與一個講中文的威脅行為者有關，涉及包含人工智慧主題內容的網路釣魚訊息，以透過 JavaScript dropper 傳遞 SugarGh0st 有效負載。 2024 年 5 月的攻擊活動針對不到 10 個人，可能竊取有關生成式人工智慧的非公開信息，而美國正在加強限制中國獲取人工智慧技術。

這一背景包括美國司法部對一名前谷歌軟體工程師的起訴，罪名是竊取中國人工智慧相關技術公司使用的專有資訊。在 OpenAI 和 Google DeepMind 等領先公司的先進技術受到限制的情況下，對美國人工智慧實體的關注表明了支持中國人工智慧發展的戰略動機。