BlackTech richt zich op technologie-, onderzoeks- en overheidssectoren Nieuwe 'Deuterbear'-tool

Technologie-, onderzoeks- en overheidssectoren in de regio Azië-Pacific zijn het doelwit van een zogenaamde dreigingsacteur BlackTech als onderdeel van een recente golf van cyberaanvallen.

De inbraken maken de weg vrij voor een bijgewerkte versie van de modulaire achterdeur genaamd Waterbear, evenals voor zijn verbeterde opvolger, genaamd Deuterbear.

“Waterbear staat bekend om zijn complexiteit, omdat het een aantal ontwijkingsmechanismen gebruikt om de kans op detectie en analyse te minimaliseren”, zeiden Trend Micro-onderzoekers Cyris Tseng en Pierre Lee vorige week in een analyse.

“In 2022 begon Earth Hundun de nieuwste versie van Waterbear te gebruiken – ook bekend als Deuterbear – die verschillende wijzigingen heeft ondergaan, waaronder anti-geheugenscan- en decoderingsroutines, waardoor we het als een andere malware-entiteit beschouwen dan de originele Waterbear.”

Cyberbeveiliging

Het cyberbeveiligingsbedrijf volgt de dreigingsactor onder de naam Earth Hundun, waarvan bekend is dat deze al sinds 2007 actief is. Het gaat ook onder andere namen zoals Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn en Temp.Overboard. .

In een gezamenlijk advies dat afgelopen september werd gepubliceerd, schreven cyberveiligheids- en inlichtingendiensten uit Japan en de VS de tegenstander toe aan China, waarin het land zijn vermogen beschrijft om routerfirmware te wijzigen en de domein-vertrouwensrelaties van routers te exploiteren om van internationale dochterondernemingen naar hun hoofdkantoor in de Verenigde Staten te gaan. twee landen.

“BlackTech-actoren gebruiken aangepaste malware, tools voor tweeërlei gebruik en tactieken om van het land te leven, zoals het uitschakelen van inloggen op routers, om hun activiteiten te verbergen”, aldus de regeringen.

Deuterbear-malware

“Nadat ze een eerste voet aan de grond hebben gekregen in een doelnetwerk en beheerderstoegang krijgen tot netwerkrandapparaten, passen BlackTech-cyberactoren vaak de firmware aan om hun activiteiten op de randapparaten te verbergen om de persistentie in het netwerk verder te behouden.”

Een van de cruciale tools in zijn veelzijdige arsenaal is Waterbear (ook bekend als DBGPRINT), dat sinds 2009 in gebruik wordt genomen en door de jaren heen consequent is bijgewerkt met verbeterde functies voor verdedigingsontwijking.

De kerntrojan voor externe toegang wordt opgehaald van een command-and-control (C2)-server door middel van een downloader, die wordt gestart met behulp van een lader die op zijn beurt wordt uitgevoerd via een bekende techniek die DLL side-loading wordt genoemd.

De nieuwste versie van het implantaat ondersteunt bijna 50 opdrachten, waardoor het een breed scala aan activiteiten kan uitvoeren, waaronder het opsommen en beëindigen van processen, bestandsbewerkingen, vensterbeheer, het starten en afsluiten van de externe shell, het vastleggen van schermafbeeldingen en het wijzigen van het Windows-register.

Cyberbeveiliging

Ook Deuterbear wordt sinds 2022 met een vergelijkbare infectiestroom geleverd, wiens downloader een reeks verduisteringsmethoden implementeert om anti-analyse te weerstaan ​​en HTTPS gebruikt voor C2-communicatie.

“Sinds 2009 heeft Earth Hundun de Waterbear-achterdeur voortdurend ontwikkeld en verfijnd, evenals de vele varianten en vertakkingen ervan”, aldus de onderzoekers.

“De Deuterbear-downloader maakt gebruik van HTTPS-codering voor de bescherming van netwerkverkeer en implementeert verschillende updates bij de uitvoering van malware, zoals het wijzigen van de functiedecodering, het controleren op debuggers of sandboxes en het wijzigen van verkeersprotocollen.”

Thijs Van der Does