Ερευνητές κυβερνοασφάλειας ανέλυσαν ένα trojan απομακρυσμένης πρόσβασης (RAT) γνωστό ως Deuterbear, που χρησιμοποιείται από τους hackers BlackTech που συνδέονται με την Κίνα. Το RAT χρησιμοποιείται για κυβερνοκατασκοπεία που στοχεύει την περιοχή Ασίας-Ειρηνικού.
Οι Κινέζοι hackers BlackTech δραστηριοποιούνται τουλάχιστον από το 2007. Οι κυβερνοεπιθέσεις περιελάμβαναν την ανάπτυξη ενός κακόβουλου λογισμικού που ονομάζεται Waterbear, για σχεδόν 15 χρόνια. Ωστόσο, οι καμπάνιες που παρατηρήθηκαν από τον Οκτώβριο του 2022 έχουν επίσης χρησιμοποιήσει μια ενημερωμένη έκδοση που ονομάζεται Deuterbear.
“Το Deuterbear, αν και μοιάζει με το Waterbear από πολλές απόψεις, παρουσιάζει βελτιωμένες δυνατότητες όπως η υποστήριξη για shellcode plugins, η αποφυγή handshakes για λειτουργία RAT και η χρήση HTTPS για επικοινωνία C&C“, δήλωσαν οι ερευνητές της Trend Micro, Pierre Lee και Cyris Tseng.
“Συγκρίνοντας τις δύο παραλλαγές κακόβουλου λογισμικού, το Deuterbear χρησιμοποιεί ένα shellcode format, διαθέτει anti-memory scanning και μοιράζεται ένα traffic key με το πρόγραμμα λήψης του σε αντίθεση με το Waterbear“.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Δείτε επίσης: Το SugarGh0st RAT malware στοχεύει εταιρείες AI
Το Waterbear παραδίδεται μέσω ενός νόμιμου εκτελέσιμου αρχείου, το οποίο αξιοποιεί DLL side-loading για την εκκίνηση ενός loader, που στη συνέχεια αποκρυπτογραφεί και εκτελεί ένα downloader, το οποίο με τη σειρά του έρχεται σε επαφή με έναν command-and-control (C&C) server για να ανακτήσει το RAT.
Το RAT λαμβάνεται δύο φορές από την υποδομή που ελέγχεται από τους εισβολείς. Το πρώτο Waterbear RAT χρησιμεύει ως πρόγραμμα λήψης plugins, ενώ το δεύτερο Waterbear RAT λειτουργεί ως backdoor, συλλέγοντας ευαίσθητες πληροφορίες από τον παραβιασμένο κεντρικό υπολογιστή, μέσω ενός συνόλου 60 εντολών.
Η οδός μόλυνσης για το Deuterbear είναι παρόμοια με αυτή του Waterbear. Και σε αυτή την περίπτωση, υπάρχουν δύο στάδια για την εγκατάσταση του RAT backdoor component.
Το πρώτο στάδιο χρησιμοποιεί το loader για την εκκίνηση ενός προγράμματος downloader. Αυτό συνδέεται με τον C&C server για την ανάκτηση του Deuterbear RAT. Δημιουργείται persistence μέσω ενός loader δεύτερου σταδίου, μέσω DLL side-loading.
Αυτό το loader είναι τελικά υπεύθυνο για την εκτέλεση ενός προγράμματος λήψης, το οποίο και πάλι κατεβάζει το Deuterbear RAT από έναν διακομιστή C&C για κλοπή πληροφοριών.
Δείτε επίσης: Hackers FIN7: Κακόβουλες διαφημίσεις για διανομή του NetSupport RAT
“Στα περισσότερα από τα μολυσμένα συστήματα, μόνο το δεύτερο στάδιο Deuterbear είναι διαθέσιμο“, είπαν οι ερευνητές. “Όλα τα στοιχεία του πρώτου σταδίου Deuterbear αφαιρούνται πλήρως μετά την ολοκλήρωση της εγκατάστασης persistence”.
“Αυτή η στρατηγική προστατεύει αποτελεσματικά τα ίχνη τους και αποτρέπει την εύκολη ανάλυση του κακόβουλου λογισμικού από ερευνητές απειλών, ιδιαίτερα σε περιβάλλοντα προσομοίωσης και όχι σε συστήματα πραγματικών θυμάτων“.
Η Trend Micro είπε ότι το Waterbear έχει εξελιχθεί, οδηγώντας τελικά στην εμφάνιση ενός νέου κακόβουλου λογισμικού, Deuterbear. “Είναι ενδιαφέρον ότι τόσο το Waterbear όσο και το Deuterbear συνεχίζουν να εξελίσσονται ανεξάρτητα, αντί να αντικαθιστά το ένα το άλλο“.
Προστασία
Ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία των χρηστών είναι η εκπαίδευση στην ασφάλεια του διαδικτύου. Οι χρήστες πρέπει να είναι ενήμεροι για τους κινδύνους που συνεπάγονται η λήψη λογισμικού από μη αξιόπιστες πηγές και το κλικ σε διαφημίσεις που φαίνονται ύποπτες.
Επιπλέον, η χρήση ενός αξιόπιστου λογισμικού antivirus μπορεί να προσφέρει σημαντική προστασία. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να απομακρύνουν ύποπτα προγράμματα πριν αυτά μπορέσουν να προκαλέσουν ζημιά στον υπολογιστή του χρήστη.
Δείτε επίσης: Ψεύτικες συνεντεύξεις εργασίας διανέμουν νέο Python RAT
Τέλος, οι χρήστες πρέπει να διατηρούν το λειτουργικό σύστημα και όλες τις εφαρμογές τους ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τους χρήστες από τις πιο πρόσφατες απειλές.
Πηγή: thehackernews.com