Deuterbear RATA
Los investigadores de ciberseguridad han proporcionado nuevos conocimientos sobre Deuterbear, un troyano de acceso remoto (RAT) empleado por el grupo de hackers BlackTech , vinculado a China, en una reciente campaña de ciberespionaje dirigida a la región de Asia y el Pacífico.
El Deuterbear RAT se parece a una herramienta previamente dañina utilizada por el grupo, conocida como Waterbear. Sin embargo, presenta mejoras significativas, incluida la compatibilidad con complementos de shellcode, operación sin apretones de manos y el uso de HTTPS para la comunicación de comando y control (C&C). A diferencia de Waterbear, Deuterbear emplea un formato shellcode, incorpora técnicas de escaneo anti-memoria y comparte una clave de tráfico con su descargador.
Tabla de contenido
BlackTech ha estado actualizando su arsenal de herramientas amenazantes
Activo desde al menos 2007, BlackTech ha sido conocido en la comunidad de ciberseguridad por varios nombres, incluidos Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard.
Durante casi 15 años, el grupo ha utilizado con frecuencia el malware Waterbear (también conocido como DBGPRINT) en sus ciberataques. Sin embargo, desde octubre de 2022, sus campañas presentan una versión actualizada de este malware llamada Deuterbear.
La cadena de infección utilizada por BackTech para la entrega del malware Waterbear
Waterbear se entrega a los dispositivos de destino a través de un ejecutable legítimo parcheado, que utiliza carga lateral de DLL para iniciar un cargador. Luego, este cargador descifra y ejecuta un descargador, que se comunica con un servidor de comando y control (C&C) para recuperar el módulo RAT.
Curiosamente, el módulo RAT se recupera dos veces de la infraestructura controlada por el atacante. La primera recuperación carga un complemento Waterbear, que compromete aún más el sistema al iniciar una versión diferente del descargador Waterbear para recuperar el módulo RAT de otro servidor C&C.
En otras palabras, el Waterbear RAT inicial actúa como un descargador de complementos, mientras que el segundo Waterbear RAT funciona como una puerta trasera, recopilando información confidencial del host comprometido mediante un conjunto de 60 comandos.
El Deuterbear RAT se basa en tácticas de infección modificadas para comprometer los dispositivos de las víctimas
La vía de infección de Deuterbear es muy similar a la de Waterbear en el sentido de que también implementa dos etapas para instalar el componente de puerta trasera RAT. Aún así, también lo modifica hasta cierto punto.
La primera etapa, en este caso, emplea el cargador para iniciar un descargador, que se conecta al servidor C&C para buscar Deuterbear RAT, un intermediario que sirve para establecer persistencia a través de un cargador de segunda etapa mediante carga lateral de DLL. Este cargador es, en última instancia, responsable de ejecutar un descargador, que nuevamente descarga el Deuterbear RAT desde un servidor C&C para robar información.
En la mayoría de los sistemas infectados, sólo está disponible la segunda etapa Deuterbear. Todos los componentes de la primera etapa Deuterbear se eliminan por completo una vez completada la "instalación de persistencia".
El Deuterbear RAT puede estar evolucionando por separado de su predecesor
Esta estrategia oculta efectivamente las huellas de los atacantes y dificulta que los investigadores de amenazas analicen el malware Deuterbear, especialmente en entornos simulados, en lugar de en los sistemas de las víctimas reales.
Deuterbear RAT es una versión más optimizada de su predecesor, que conserva solo un subconjunto de comandos y adopta un enfoque basado en complementos para ampliar su funcionalidad. Waterbear ha experimentado una evolución continua, que finalmente condujo al desarrollo de Deuterbear. Curiosamente, tanto Waterbear como Deuterbear continúan evolucionando de forma independiente, en lugar de que uno simplemente reemplace al otro.
