Pesquisadores de segurança cibernética lançaram mais luz sobre um cavalo de Troia de acesso remoto (RAT) conhecido como Deuterbear usado pelo grupo de hackers BlackTech, ligado à China, como parte de uma campanha de espionagem cibernética visando a região da Ásia-Pacífico este ano.
“Deuterbear, embora semelhante ao Waterbear de muitas maneiras, mostra avanços em capacidades como incluir suporte para plugins de shellcode, evitar apertos de mão para operação de RAT e usar HTTPS para comunicação C&C,” disseram os pesquisadores da Trend Micro Pierre Lee e Cyris Tseng em uma nova análise.
“Comparando as duas variantes de malware, o Deuterbear usa um formato de shellcode, possui varredura anti-memória e compartilha uma chave de tráfego com seu baixador, ao contrário do Waterbear.”
O BlackTech, ativo desde pelo menos 2007, também é rastreado pela comunidade mais ampla de segurança cibernética sob os nomes Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Ataques cibernéticos orquestrados pelo grupo há muito envolvem a implantação de um malware chamado Waterbear (também conhecido como DBGPRINT) por quase 15 anos, embora as campanhas observadas desde outubro de 2022 também tenham utilizado uma versão atualizada chamada Deuterbear.
Waterbear é entregue por meio de um executável legítimo corrigido, que alavanca o carregamento lateral de DLL para lançar um carregador que então descriptografa e executa um baixador, que subsequentemente entra em contato com um servidor de comando e controle (C&C) para recuperar o módulo RAT.
Interessantemente, o módulo RAT é baixado duas vezes da infraestrutura controlada pelo atacante, sendo que o primeiro é usado apenas para carregar um plugin Waterbear que amplia a comprometimento lançando uma versão diferente do baixador Waterbear para recuperar o módulo RAT de outro servidor C&C.
Em outras palavras, o primeiro Waterbear RAT serve como um baixador de plugins, enquanto o segundo Waterbear RAT funciona como uma porta dos fundos, coletando informações sensíveis do host comprometido por meio de um conjunto de 60 comandos.
O caminho de infecção para Deuterbear é muito semelhante ao de Waterbear, implementando também duas etapas para instalar o componente de porta dos fundos RAT, mas também o ajusta em certa medida.
A primeira etapa, neste caso, emprega o carregador para lançar um baixador, que se conecta ao servidor C&C para buscar o RAT Deuterbear, um intermediário que serve para estabelecer a persistência por meio de um carregador de segunda etapa via carregamento lateral de DLL.
Este carregador é o responsável por executar um baixador, que novamente baixa o RAT Deuterbear de um servidor C&C para roubo de informações.
“Na maioria dos sistemas infectados, apenas o segundo estágio de Deuterbear está disponível,” afirmaram os pesquisadores. “Todos os componentes do primeiro estágio do Deuterbear são totalmente removidos após a ‘instalação de persistência’ ser concluída.”
O Deuterbear RAT também é uma versão mais simplificada de seu antecessor, mantendo apenas um subconjunto dos comandos em favor de uma abordagem baseada em plugins para incorporar mais funcionalidade.
“O Waterbear passou por uma evolução contínua, eventualmente dando origem ao surgimento de um novo malware, Deuterbear,” disse a Trend Micro. “Curiosamente, tanto o Waterbear quanto o Deuterbear continuam a evoluir independentemente, em vez de um simplesmente substituir o outro.”
Alvo de campanha direcionada distribui RAT SugarGh0st
A divulgação ocorre conforme a Proofpoint detalhou uma campanha cibernética “extremamente direcionada” visando organizações nos EUA envolvidas em esforços de inteligência artificial, incluindo academias, indústria privada e governo, para entregar um malware chamado RAT SugarGh0st.
A empresa de segurança empresarial está rastreando o cluster de atividade emergente sob o nome UNK_SweetSpecter.
“O SugarGh0st RAT é um cavalo de Troia de acesso remoto e é uma variante personalizada do RAT Gh0st, um cavalo de Troia mais antigo normalmente usado por atores de ameaças de língua chinesa,” disse a empresa. “O SugarGh0st RAT historicamente foi usado para visar usuários na Ásia Central e Oriental.”
O SugarGh0st RAT foi documentado pela primeira vez no final do ano passado pela Cisco Talos em conexão com uma campanha visando o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos desde agosto de 2023. As intrusões foram atribuídas a um suspeito ator de ameaças de língua chinesa.
As cadeias de ataque implicam o envio de mensagens de phishing temáticas de IA contendo um arquivo ZIP que, por sua vez, empacota um arquivo de atalho do Windows para implantar um dropper JavaScript responsável por lançar a carga útil SugarGh0st.
“A campanha de maio de 2024 parecia visar menos de 10 indivíduos, todos os quais parecem ter uma conexão direta com uma única organização líder de inteligência artificial com sede nos EUA, de acordo com pesquisas de fontes abertas,” disse a empresa.
O objetivo final dos ataques não está claro, embora se teorize que possam ser uma tentativa de roubar informações não públicas sobre inteligência artificial generativa (GenAI).
Além disso, o ataque a entidades dos EUA coincide com relatos de que o governo dos EUA está buscando restringir o acesso da China a ferramentas de GenAI de empresas como OpenAI, Google DeepMind e Anthropic, oferecendo potenciais motivos.
No início deste ano, o Departamento de Justiça dos EUA também indiciou um ex-engenheiro de software do Google por roubo de informações proprietárias da empresa e tentativa de usá-las em duas empresas de tecnologia afiliadas à IA na China, incluindo uma que ele fundou por volta de maio de 2023.
“É possível que se entidades chinesas forem impedidas de acessar tecnologias que sustentam o desenvolvimento de inteligência artificial, então atores cibernéticos alinhados à China podem visar aqueles com acesso a essas informações para avançar os objetivos de desenvolvimento chineses,” disse a empresa.
