Pesquisadores de segurança cibernética lançaram mais luz sobre um trojan de acesso remoto (RAT) conhecido como Deuterbear usado pelo grupo de hackers BlackTech, ligado à China, como parte de uma campanha de espionagem cibernética visando a região da Ásia-Pacífico este ano.
“Deuterbear, embora semelhante ao Waterbear de várias maneiras, mostra avanços em capacidades como incluir suporte para plugins de shellcode, evitar apertos de mão para operação de RAT e usar HTTPS para comunicação de C&C,” disseram os pesquisadores da Trend Micro, Pierre Lee e Cyris Tseng, em uma nova análise.
“Comparando as duas variantes de malware, Deuterbear usa um formato de shellcode, possui varredura anti-memória e compartilha uma chave de tráfego com seu downloader, ao contrário do Waterbear.”
O BlackTech, ativo desde pelo menos 2007, também é rastreado pela comunidade mais ampla de segurança cibernética sob os codinomes Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Ataques cibernéticos orquestrados pelo grupo há muito envolvem a implantação de um malware chamado Waterbear (também conhecido como DBGPRINT) há quase 15 anos, embora campanhas observadas desde outubro de 2022 também tenham utilizado uma versão atualizada chamada Deuterbear.
Waterbear é entregue por meio de um executável legítimo patcheado, que aproveita o carregamento lateral de DLL para lançar um carregador que então descriptografa e executa um downloader, que posteriormente entra em contato com um servidor de comando e controle (C&C) para recuperar o módulo RAT.
Interessantemente, o módulo RAT é buscado duas vezes na infraestrutura controlada pelo atacante, sendo que a primeira delas é usada apenas para carregar um plugin do Waterbear que aprofunda a comprometimento ao lançar uma versão diferente do downloader do Waterbear para recuperar o módulo RAT de outro servidor C&C.
Em outras palavras, o primeiro Waterbear RAT serve como um downloader de plugin, enquanto o segundo Waterbear RAT funciona como uma porta dos fundos, coletando informações sensíveis do host comprometido por meio de um conjunto de 60 comandos.
O caminho de infecção do Deuterbear é bastante semelhante ao do Waterbear no sentido de também implementar duas etapas para instalar o componente de porta dos fundos RAT, mas também o ajusta em certa medida.
A primeira etapa, neste caso, emprega o carregador para lançar um downloader, que se conecta ao servidor C&C para buscar o RAT Deuterbear, um intermediário que serve para estabelecer a persistência por meio de um carregador de segunda etapa por carregamento de DLL.
Este carregador é o responsável por executar um downloader, que novamente baixa o Deuterbear RAT de um servidor C&C para roubo de informações.
“Nos sistemas infectados, apenas o Deuterbear de segunda etapa está disponível na maioria dos casos,” disseram os pesquisadores. “Todos os componentes do Deuterbear de primeira etapa são totalmente removidos após a conclusão da ‘instalação de persistência’.”
Esta estratégia protege efetivamente suas pegadas e impede que o malware seja facilmente analisado por pesquisadores de ameaças, especialmente em ambientes simulados em vez de sistemas de vítimas reais.
O Deuterbear RAT é também uma versão mais simplificada de seu antecessor, retendo apenas um subconjunto dos comandos em favor de uma abordagem baseada em plugins para incorporar mais funcionalidade.
“O Waterbear passou por uma evolução contínua, finalmente dando origem ao surgimento de um novo malware, Deuterbear,” disse a Trend Micro. “Curiosamente, tanto o Waterbear quanto o Deuterbear continuam a evoluir independentemente, em vez de apenas um substituir o outro.”
Campanha Direcionada Entrega RAT SugarGh0st
A divulgação ocorre quando a Proofpoint detalhou uma campanha cibernética “extremamente direcionada” visando organizações nos EUA envolvidas em esforços de inteligência artificial, incluindo acadêmicos, indústria privada e governo, para entregar um malware chamado SugarGh0st RAT.
A empresa de segurança corporativa está rastreando o cluster de atividade emergente sob o nome UNK_SweetSpecter.
“SugarGh0st RAT é um trojan de acesso remoto e é uma variante personalizada do Gh0st RAT, um trojan mais antigo comumente usado por atores de ameaças de língua chinesa,” disse a empresa. “O SugarGh0st RAT foi historicamente usado para visar usuários na Ásia Central e Leste Asiático.”
O SugarGh0st RAT foi documentado pela primeira vez no final do ano passado pela Cisco Talos em conexão com uma campanha visando o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos desde agosto de 2023. As intrusões foram atribuídas a um suposto ator de ameaça de língua chinesa.
As cadeias de ataque envolvem o envio de mensagens de phishing temáticas de Inteligência Artificial contendo um arquivo ZIP que, por sua vez, empacota um arquivo de atalho do Windows para implantar um dropper JavaScript responsável por lançar a carga útil do SugarGh0st.
“A campanha de maio de 2024 parecia visar menos de 10 indivíduos, todos os quais parecem ter uma conexão direta com uma única organização líder em inteligência artificial dos EUA, de acordo com pesquisas de fonte aberta,” disse a empresa.
O objetivo final dos ataques não está claro, embora se teorize que possa ser uma tentativa de roubar informações não públicas sobre inteligência artificial generativa (GenAI).
Além disso, o direcionamento de entidades dos EUA coincide com relatórios de que o governo dos EUA está buscando restringir o acesso da China a ferramentas de GenAI de empresas como OpenAI, Google DeepMind e Anthropic, oferecendo possíveis motivos.
No início deste ano, o Departamento de Justiça dos EUA também acusou um ex-engenheiro de software da Google por roubo de informações proprietárias da empresa e tentativa de usá-las em duas empresas de tecnologia afiliadas à IA na China, incluindo uma que ele fundou por volta de maio de 2023.
“É possível que, se entidades chinesas forem restritas de acessar tecnologias que fundamentam o desenvolvimento de IA, então atores de ameaças alinhados com a China podem visar aqueles com acesso a essas informações para promover metas de desenvolvimento chinesas,” disse a empresa.
