Deuterbear RAT атакует Азию: чем вредонос от BlackTech удивил исследователей

Исследователи кибербезопасности раскрыли новые подробности о трояне удалённого доступа под названием Deuterbear RAT, который используется связанной с Китаем хакерской группой BlackTech в рамках кибершпионской кампании, нацеленной на Азиатско-Тихоокеанский регион.

Группа BlackTech, активная как минимум с 2007 года, известна под многими названиями, включая Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard.

На протяжении многих лет BlackTech использовала в своих злонамеренных кампаниях вредонос Waterbear, однако с октября 2022 года группировка также активно применяет его обновлённую версия под названием Deuterbear.

«Deuterbear хоть во многом и похож на Waterbear, имеет некоторые усовершенствования, такие как избегание хэндшейк-сигналов для работы RAT и использование HTTPS для связи с C2-инфраструктурой», — объяснили Пьер Ли и Цирис Ценг, исследователи Trend Micro, в своём новом анализе.

«В отличие от Waterbear, новый вредонос использует формат шелл-кода, обладает функцией сканирования памяти и делится ключом трафика со своим загрузчиком», — добавили специалисты.

Оба вредоноса распространяются через специальный загрузчик методом DLL Sideloading, используя вредоносные библиотеки в паре с легитимными исполняемыми файлами для загрузки и расшифровки непосредственно зловредного модуля, однако у старого вредоноса процесс установки в систему состоял из большего числа этапов.

Исследователи заявляют, что Deuterbear RAT, в целом, является более упрощённой версией своего предшественника, сохранив только жёстко закодированные команды в сравнении с плагиновым подходом Waterbear для внедрения дополнительного функционала.

Эксперты также уверены, что вредоносы служат для несколько разных целей, поэтому продолжат развиваться независимо друг от друга. Всё это привносит определённую сложность для команд безопасности, вынужденных следить за большим числом угроз и проявлять повышенную бдительность.