Pesquisadores de cibersegurança lançaram mais luz sobre um trojan de acesso remoto (RAT) conhecido como Deuterbear usado pelo grupo de hackers BlackTech ligado à China como parte de uma campanha de espionagem cibernética direcionada à região da Ásia-Pacífico este ano.
“Deuterbear, embora semelhante ao Waterbear em muitos aspectos, demonstra avanços em capacidades como suporte para plugins de shellcode, evitando apertos de mão para operação do RAT e utilizando HTTPS para comunicação C&C,” disseram os pesquisadores da Trend Micro, Pierre Lee e Cyris Tseng, em uma nova análise.
“Comparando as duas variantes de malware, Deuterbear utiliza um formato de shellcode, possui anti-escaneamento de memória e compartilha uma chave de tráfego com seu downloader, ao contrário do Waterbear.”
BlackTech, ativo desde pelo menos 2007, também é rastreado pela comunidade de cibersegurança sob os nomes de Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Ataques cibernéticos organizados pelo grupo há muito tempo envolveram o uso de um malware chamado Waterbear (também conhecido como DBGPRINT) por quase 15 anos, embora as campanhas observadas desde outubro de 2022 também tenham utilizado uma versão atualizada chamada Deuterbear.
Waterbear é entregue por meio de um executável legítimo corrigido, que utiliza DLL side-loading para lançar um loader que então descriptografa e executa um downloader, que posteriormente se conecta a um servidor de comando e controle (C&C) para recuperar o módulo RAT.
Interessantemente, o módulo RAT é baixado duas vezes da infraestrutura controlada pelo atacante, sendo o primeiro usado para carregar um plugin Waterbear que avança na comprometimento ao lançar uma versão diferente do downloader Waterbear para recuperar o módulo RAT de outro servidor C&C.
Em outras palavras, o primeiro Waterbear RAT atua como um downloader de plugins, enquanto o segundo Waterbear RAT funciona como um backdoor, extraindo informações sensíveis do host comprometido através de um conjunto de 60 comandos.
O caminho de infecção para Deuterbear é muito semelhante ao de Waterbear, implementando também duas etapas para instalar o componente backdoor RAT, mas com algumas alterações.
A primeira etapa, neste caso, emprega o loader para lançar um downloader, que se conecta ao servidor C&C para buscar o RAT Deuterbear, um intermediário que serve para estabelecer a persistência por meio de um loader de segunda etapa via DLL side-loading.
Este loader é o responsável por executar um downloader, que novamente baixa o RAT Deuterbear de um servidor C&C para roubo de informações.
“Na maioria dos sistemas infectados, apenas o segundo estágio Deuterbear está disponível,” disseram os pesquisadores. “Todos os componentes do primeiro estágio Deuterbear são totalmente removidos após a conclusão da ‘instalação de persistência.'”
Deuterbear RAT é também uma versão mais simplificada de seu antecessor, mantendo apenas um subconjunto dos comandos a favor de uma abordagem baseada em plugins para incorporar mais funcionalidades.
“Waterbear passou por uma evolução contínua, eventualmente dando origem ao surgimento de um novo malware, Deuterbear,” disse a Trend Micro. “Interessante, tanto o Waterbear quanto o Deuterbear continuam a evoluir independentemente, ao invés de um simplesmente substituir o outro.”
