Aan China gelinkte hackers gebruiken een tweefasige infectietactiek om Deuterbear RAT in te zetten

Cybersecurity-onderzoekers hebben meer licht geworpen op een trojan voor externe toegang (RAT), bekend als Deuterbear, die wordt gebruikt door de aan China gelinkte BlackTech hackgroep als onderdeel van een cyberspionagecampagne gericht op de regio Azië-Pacific dit jaar.

“Deuterbear, hoewel in veel opzichten vergelijkbaar met Waterbear, vertoont verbeteringen in mogelijkheden zoals het opnemen van ondersteuning voor shellcode-plug-ins, het vermijden van handshakes voor RAT-werking en het gebruik van HTTPS voor C&C-communicatie”, aldus Trend Micro-onderzoekers Pierre Lee en Cyris Tseng in een nieuwe analyse .

“Bij het vergelijken van de twee malwarevarianten gebruikt Deuterbear een shellcode-formaat, beschikt over anti-geheugenscanning en deelt een verkeerssleutel met zijn downloader, in tegenstelling tot Waterbear.”

BlackTech, actief sinds minstens 2007, wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn en Temp.Overboard.

Cyberaanvallen die door de groep worden georkestreerd, omvatten al bijna 15 jaar lang de inzet van malware genaamd Waterbear (ook bekend als DBGPRINT), hoewel campagnes die sinds oktober 2022 zijn waargenomen ook gebruik hebben gemaakt van een bijgewerkte versie genaamd Deuterbear.

Waterbear wordt geleverd door middel van een gepatcht legitiem uitvoerbaar bestand, dat gebruik maakt van DLL side-loading om een ​​lader te starten die vervolgens een downloader decodeert en uitvoert, die vervolgens contact maakt met een command-and-control (C&C) server om de RAT-module op te halen.

Interessant is dat de RAT-module twee keer wordt opgehaald uit de door de aanvaller gecontroleerde infrastructuur, waarvan de eerste alleen wordt gebruikt om een ​​Waterbear-plug-in te laden die het compromis bevordert door een andere versie van de Waterbear-downloader te starten om de RAT-module van een andere C&C-server op te halen.

Anders gezegd: de eerste Waterbear RAT dient als plug-in-downloader, terwijl de tweede Waterbear RAT als achterdeur fungeert en gevoelige informatie van de getroffen host verzamelt via een set van 60 opdrachten.

Het infectiepad voor Deuterbear lijkt veel op dat van Waterbear, in die zin dat het ook twee fasen implementeert om de RAT-achterdeurcomponent te installeren, maar deze ook tot op zekere hoogte aanpast.

In de eerste fase wordt in dit geval de lader gebruikt om een ​​downloader te starten, die verbinding maakt met de C&C-server om Deuterbear RAT op te halen, een tussenpersoon die dient om persistentie tot stand te brengen via een tweede fase lader via DLL-side-loading.

Deze lader is uiteindelijk verantwoordelijk voor het uitvoeren van een downloader, die opnieuw de Deuterbear RAT downloadt van een C&C-server voor informatiediefstal.

“In de meeste geïnfecteerde systemen is alleen de tweede fase Deuterbear beschikbaar”, aldus de onderzoekers. “Alle componenten van de eerste trap Deuterbear worden volledig verwijderd nadat de 'persistentie-installatie' is voltooid.”

Deuterbear RAT

“Deze strategie beschermt effectief hun sporen en voorkomt dat de malware gemakkelijk kan worden geanalyseerd door bedreigingsonderzoekers, vooral in gesimuleerde omgevingen in plaats van echte slachtoffersystemen.”

Deuterbear RAT is ook een meer gestroomlijnde versie van zijn voorganger, waarbij slechts een subset van de opdrachten behouden blijft ten gunste van een op plug-ins gebaseerde aanpak om meer functionaliteit te integreren.

“Waterbear heeft een voortdurende evolutie doorgemaakt, wat uiteindelijk heeft geleid tot de opkomst van een nieuwe malware, Deuterbear”, aldus Trend Micro. “Interessant is dat zowel Waterbear als Deuterbear onafhankelijk blijven evolueren, in plaats van dat de een de ander simpelweg vervangt.”

Gerichte campagne levert SugarGh0st RAT op

De onthulling komt op het moment dat Proofpoint een ‘extreem gerichte’ cybercampagne heeft gedetailleerd, gericht op organisaties in de VS die betrokken zijn bij inspanningen op het gebied van kunstmatige intelligentie, waaronder de academische wereld, de particuliere sector en de overheid, om een ​​malware te leveren genaamd SugarGh0st RAT.

Het bedrijfsbeveiligingsbedrijf volgt het opkomende activiteitencluster onder de naam UNK_SweetSpecter.

“SugarGh0st RAT is een trojan voor externe toegang en is een aangepaste variant van Gh0st RAT, een oudere trojan die doorgaans wordt gebruikt door Chineessprekende bedreigingsactoren”, aldus het bedrijf. “SugarGh0st RAT wordt van oudsher gebruikt om gebruikers in Centraal- en Oost-Azië te targeten.”

SugarGh0st RAT werd eind vorig jaar voor het eerst gedocumenteerd door Cisco Talos in verband met een campagne gericht op het Oezbekistaanse ministerie van Buitenlandse Zaken en Zuid-Koreaanse gebruikers sinds augustus 2023. De inbraken werden toegeschreven aan een vermoedelijk Chinees sprekende dreigingsacteur.

De aanvalsketens omvatten het verzenden van phishing-berichten met AI-thema die een ZIP-archief bevatten dat op zijn beurt een Windows-snelkoppelingsbestand inpakt om een ​​JavaScript-dropper in te zetten die verantwoordelijk is voor het lanceren van de SugarGh0st-payload.

“De campagne van mei 2024 leek zich te richten op minder dan tien personen, die volgens open source-onderzoek allemaal een directe connectie lijken te hebben met één enkele toonaangevende in de VS gevestigde kunstmatige-intelligentieorganisatie”, aldus het bedrijf.

Het einddoel van de aanvallen is niet duidelijk, hoewel er wordt getheoretiseerd dat het mogelijk een poging is om niet-openbare informatie over generatieve kunstmatige intelligentie (GenAI) te stelen.

Bovendien valt de targeting op Amerikaanse entiteiten samen met nieuwsberichten dat de Amerikaanse regering de toegang van China tot GenAI-tools van bedrijven als OpenAI, Google DeepMind en Anthropic wil beperken, wat potentiële motieven aandraagt.

Eerder dit jaar heeft het Amerikaanse ministerie van Justitie (DoJ) ook een voormalige software-ingenieur van Google aangeklaagd wegens het stelen van bedrijfseigen informatie van het bedrijf en een poging deze te gebruiken bij twee aan AI gelieerde technologiebedrijven in China, waaronder een bedrijf dat hij rond mei 2023 heeft opgericht.

“Het is mogelijk dat als Chinese entiteiten geen toegang krijgen tot technologieën die de ontwikkeling van AI ondersteunen, Chinese cyberactoren zich kunnen richten op degenen met toegang tot die informatie om de Chinese ontwikkelingsdoelen te bevorderen”, aldus het bedrijf.

Thijs Van der Does