RAT Deuterours
Des chercheurs en cybersécurité ont fourni de nouvelles informations sur Deuterbear, un cheval de Troie d'accès à distance (RAT) utilisé par le groupe de piratage BlackTech lié à la Chine dans le cadre d'une récente campagne de cyberespionnage ciblant la région Asie-Pacifique.
Le Deuterbear RAT ressemble à un outil auparavant nuisible utilisé par le groupe, connu sous le nom de Waterbear. Cependant, il présente des améliorations significatives, notamment la prise en charge des plugins shellcode, le fonctionnement sans poignée de main et l'utilisation de HTTPS pour la communication de commande et de contrôle (C&C). Contrairement à Waterbear, Deuterbear utilise un format shellcode, intègre des techniques d'analyse anti-mémoire et partage une clé de trafic avec son téléchargeur.
Table des matières
BlackTech a mis à jour son arsenal d'outils menaçants
Actif depuis au moins 2007, BlackTech est connu dans la communauté de la cybersécurité sous divers noms, notamment Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn et Temp.Overboard.
Depuis près de 15 ans, le groupe utilise fréquemment le malware Waterbear (également connu sous le nom de DBGPRINT) dans ses cyberattaques. Cependant, depuis octobre 2022, leurs campagnes présentent une version mise à jour de ce malware appelée Deuterbear.
La chaîne d'infection utilisée par BackTech pour la livraison du logiciel malveillant Waterbear
Waterbear est livré aux appareils ciblés via un exécutable légitime corrigé, qui utilise le chargement latéral de DLL pour lancer un chargeur. Ce chargeur décrypte et exécute ensuite un téléchargeur, qui contacte un serveur de commande et de contrôle (C&C) pour récupérer le module RAT.
Il est intéressant de noter que le module RAT est récupéré deux fois depuis l’infrastructure contrôlée par l’attaquant. La première récupération charge un plugin Waterbear, qui compromet davantage le système en lançant une version différente du téléchargeur Waterbear pour récupérer le module RAT à partir d'un autre serveur C&C.
En d’autres termes, le Waterbear RAT initial agit comme un téléchargeur de plugin, tandis que le second Waterbear RAT fonctionne comme une porte dérobée, collectant des informations sensibles auprès de l’hôte compromis à l’aide d’un ensemble de 60 commandes.
Le Deuterbear RAT s'appuie sur des tactiques d'infection modifiées pour compromettre les appareils des victimes
La voie d’infection de Deuterbear est très similaire à celle de Waterbear dans la mesure où elle met également en œuvre deux étapes pour installer le composant de porte dérobée RAT. Pourtant, cela le modifie également dans une certaine mesure.
Dans ce cas, la première étape utilise le chargeur pour lancer un téléchargeur, qui se connecte au serveur C&C pour récupérer Deuterbear RAT, un intermédiaire qui sert à établir la persistance via un chargeur de deuxième étape via le chargement latéral de DLL. Ce chargeur est en fin de compte responsable de l'exécution d'un téléchargeur, qui télécharge à nouveau le Deuterbear RAT à partir d'un serveur C&C pour le vol d'informations.
Dans la plupart des systèmes infectés, seul le Deuterbear de deuxième étape est disponible. Tous les composants du premier étage Deuterbear sont totalement supprimés une fois « l’installation de persistance » terminée.
Le Deuterbear RAT pourrait évoluer séparément de son prédécesseur
Cette stratégie masque efficacement les traces des attaquants et rend difficile pour les chercheurs en menaces d'analyser le malware Deuterbear, en particulier dans des environnements simulés, plutôt que dans les systèmes des victimes réelles.
Le Deuterbear RAT est une version plus simplifiée de son prédécesseur, ne conservant qu'un sous-ensemble de commandes et adoptant une approche basée sur des plugins pour étendre ses fonctionnalités. Waterbear a subi une évolution continue, menant finalement au développement de Deuterbear. Il est intéressant de noter que Waterbear et Deuterbear continuent d’évoluer indépendamment, plutôt que de simplement remplacer l’autre.
