Deuterbär RAT
Cybersicherheitsforscher haben neue Erkenntnisse zu Deuterbear bereitgestellt, einem Remote Access Trojaner (RAT), der von der mit China verbundenen Hackergruppe BlackTech in einer kürzlich durchgeführten Cyberspionagekampagne im asiatisch-pazifischen Raum eingesetzt wurde.
Das Deuterbear RAT ähnelt einem zuvor von der Gruppe verwendeten schädlichen Tool namens Waterbear. Es weist jedoch erhebliche Verbesserungen auf, darunter die Unterstützung von Shellcode-Plugins, den Betrieb ohne Handshakes und die Verwendung von HTTPS für die Command-and-Control-Kommunikation (C&C). Im Gegensatz zu Waterbear verwendet Deuterbear ein Shellcode-Format, enthält Anti-Memory-Scanning-Techniken und teilt einen Verkehrsschlüssel mit seinem Downloader.
Inhaltsverzeichnis
BlackTech hat sein Arsenal an Bedrohungstools aktualisiert
BlackTech ist seit mindestens 2007 aktiv und in der Cybersicherheits-Community unter verschiedenen Namen bekannt, darunter Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn und Temp.Overboard.
Fast 15 Jahre lang hat die Gruppe bei ihren Cyberangriffen häufig die Schadsoftware Waterbear (auch bekannt als DBGPRINT) eingesetzt. Seit Oktober 2022 enthalten ihre Kampagnen jedoch eine aktualisierte Version dieser Schadsoftware namens Deuterbear.
Die von BackTech zur Verbreitung der Waterbear-Malware genutzte Infektionskette
Waterbear wird über eine gepatchte legitime ausführbare Datei an die Zielgeräte geliefert, die DLL-Sideloading verwendet, um einen Loader zu starten. Dieser Loader entschlüsselt und führt dann einen Downloader aus, der einen Command-and-Control-Server (C&C) kontaktiert, um das RAT-Modul abzurufen.
Interessanterweise wird das RAT-Modul zweimal aus der vom Angreifer kontrollierten Infrastruktur abgerufen. Beim ersten Abruf wird ein Waterbear-Plugin geladen, das das System weiter gefährdet, indem es eine andere Version des Waterbear-Downloaders startet, um das RAT-Modul von einem anderen C&C-Server abzurufen.
Mit anderen Worten: Der erste Waterbear RAT fungiert als Plugin-Downloader, während der zweite Waterbear RAT als Hintertür fungiert und mithilfe eines Satzes von 60 Befehlen vertrauliche Informationen vom angegriffenen Host sammelt.
Der Deuterbear RAT nutzt modifizierte Infektionstaktiken, um die Geräte der Opfer zu kompromittieren
Der Infektionsverlauf von Deuterbear ähnelt stark dem von Waterbear, da er ebenfalls zwei Schritte zur Installation der RAT-Backdoor-Komponente durchführt. Dennoch wird er in gewissem Maße auch optimiert.
In der ersten Phase wird in diesem Fall der Loader verwendet, um einen Downloader zu starten, der sich mit dem C&C-Server verbindet, um Deuterbear RAT abzurufen, einen Vermittler, der dazu dient, die Persistenz durch einen Loader der zweiten Phase über DLL-Sideloading herzustellen. Dieser Loader ist letztendlich für die Ausführung eines Downloaders verantwortlich, der wiederum Deuterbear RAT von einem C&C-Server zum Datendiebstahl herunterlädt.
Auf den meisten infizierten Systemen ist nur die zweite Stufe von Deuterbear verfügbar. Alle Komponenten der ersten Stufe von Deuterbear werden nach Abschluss der „Persistenzinstallation“ vollständig entfernt.
Der Deuterbear RAT entwickelt sich möglicherweise unabhängig von seinem Vorgänger
Mit dieser Strategie werden die Spuren der Angreifer effektiv verwischt und es wird Bedrohungsforschern erschwert, die Deuterbear-Malware zu analysieren, insbesondere in simulierten Umgebungen statt in tatsächlichen Opfersystemen.
Deuterbear RAT ist eine abgespeckte Version seines Vorgängers, die nur einen Teil der Befehle beibehält und einen Plugin-basierten Ansatz zur Erweiterung seiner Funktionalität verfolgt. Waterbear hat eine kontinuierliche Entwicklung durchlaufen, die letztendlich zur Entwicklung von Deuterbear führte. Interessanterweise entwickeln sich sowohl Waterbear als auch Deuterbear unabhängig voneinander weiter, anstatt sich gegenseitig zu ersetzen.
