Deuterbear RAT: Cyberspionage-Tool von Hackern mit Verbindungen zu China
Medienberichte behaupten, dass Cybersicherheitsexperten kürzlich neue Details über einen Fernzugriffstrojaner (RAT) namens Deuterbear, der von der China-verbundenen Hackergruppe BlackTech. Dieser ausgeklügelte Deuterbear RAT Malware ist Teil einer breit angelegten Cyberspionage-Operation, die das ganze Jahr über auf den asiatisch-pazifischen Raum abzielt.
Fortschritte über Waterbear
Deuterbear weist im Vergleich zu seinem Vorgänger Waterbear bemerkenswerte Fortschritte auf. Laut den Forschern von Trend Micro, Pierre Lee und Cyris Tseng, Deuterbear RATverbesserte Funktionen wie die Unterstützung von Shellcode-Plugins, den Wegfall der Handshake-Anforderungen für RAT-Operationen und die Verwendung von HTTPS für die Command-and-Control-Kommunikation (C&C). Im Gegensatz zu Waterbear verwendet Deuterbear ein Shellcode-Format, enthält Anti-Memory-Scanning Funktionen und teilt sich einen Verkehrsschlüssel mit seinem Downloader, was eine erhebliche Verbesserung darstellt.
BlackTechs lange Geschichte der Cyberangriffe
BlackTech ist seit mindestens 2007 aktiv und wurde von verschiedenen Namen in der Cybersicherheitsgemeinschaft anerkannt, darunter Circuit Panda, Earth HundunHUAPI, Manga Taurus, Palmerworm, Red Djinn, und Temp.Overboard.
Bei ihren Cyberangriffen hat die Gruppe in der Vergangenheit fast 15 Jahre lang Malware wie Waterbear, auch bekannt als DBGPRINT, eingesetzt. Seit Oktober 2022 nutzt die Gruppe jedoch auch eine aktualisierte Version der Malware namens Deuterbear RAT.
Infektionsmechanismen: Wasserbär vs. Deuterbär
Bei diesem Cyberangriff setzten die Bedrohungsakteure eine zweistufige Infektionstaktik um das Zielsystem zu kompromittieren. Waterbear infiltriert Systeme in der Regel über eine gepatchte legitime ausführbare Datei, die mittels DLL-Side-Loading einen Loader startet.
Dieser Loader entschlüsselt und führt einen Downloader aus, der einen C&C-Server kontaktiert, um die RAT Modul abzurufen. Interessanterweise wird das RAT-Modul zweimal von der vom Angreifer kontrollierten Infrastruktur abgerufen.
Beim ersten Abruf wird ein Waterbear-Plugin geladen, das die Kompromittierung vorantreibt, indem eine andere Version des Waterbear-Downloaders gestartet wird, um das RAT-Modul von einem anderen C&C-Server abzurufen. Im Wesentlichen fungiert das erste Waterbear-RAT als Plugin-Downloader, während das zweite als Hintertür dient und mit 60 Befehlen sensible Informationen aus dem kompromittierten Host extrahiert.
Diese Cyberspionage-Kampagne folgt einem ähnlichen Infektionspfad, allerdings mit einigen Änderungen. In der ersten Phase wird ein Loader eingesetzt, um einen Downloader zu starten, der sich mit dem C&C-Server verbindet, um das Deuterbear-RAT zu holen. Dieses Zwischenprodukt stellt dann über einen Lader der zweiten Stufe per DLL-Side-Loading die Persistenz her. Der Lader führt schließlich einen Downloader aus, der wiederum den Deuterbear RAT von einem C&C-Server herunterlädt, um Informationen zu stehlen.
Den Forschern zufolge wird auf infizierten Systemen in der Regel nur die zweite Stufe von Deuterbear gefunden, da alle Komponenten der ersten Stufe nach der Installation entfernt werden, um die Spuren der Angreifer zu verwischen und die Analyse durch Cyber-Sicherheitsforscher zu erschweren.
Evolution und Weiterentwicklung von Deuterbear RAT
Deuterbear ist eine schlankere Version des Waterbear-MalwareDeuterbear ist eine schlankere Version der Waterbear-Malware, die nur eine Teilmenge der Befehle beibehält und einen Plugin-basierten Ansatz verfolgt, um mehr Funktionen hinzuzufügen. Trend Micro weist darauf hin, dass Waterbear und Deuterbear unabhängig voneinander weiterentwickelt werden und nicht einer den anderen einfach ersetzt.
Gezielte Kampagnen und neue Bedrohungen
Parallel dazu ist eine weitere wichtige Entwicklung in der Cyber-Bedrohungslandschaft das Auftauchen des SugarGh0st RAT. Proofpoint hat eine "extrem gezielte" Cyber-Kampagne beschrieben, die auf US-Organisationen abzielt, die sich mit künstlicher Intelligenz (KI) befassen, darunter Hochschulen, die Privatwirtschaft und Regierungseinrichtungen.
Diese Kampagne, die unter dem Namen UNK_SweetSpecter verfolgt wird, verwendet das SugarGh0st RAT, eine angepasste Variante des älteren Gh0st RAT, das häufig von chinesischsprachigen Bedrohungsakteuren verwendet wird.
SugarGh0st RAT wurde erstmals Ende letzten Jahres bekannt, als Cisco Talos seine Verwendung bei Angriffen auf das usbekische Außenministerium und südkoreanische Benutzer meldete. Diese Angriffe wurden mutmaßlich chinesischsprachigen Bedrohungsakteuren zugeschrieben. Die Angriffsketten beinhalten KI-motivierte Phishing-Nachrichten mit einem ZIP-Archiv, das eine Windows-Verknüpfungsdatei enthält, die dann einen JavaScript-Dropper einsetzt, um die SugarGh0st-Nutzlast zu starten.
Jüngste Kampagnen und mögliche Beweggründe
Die Kampagne vom Mai 2024 zielte auf weniger als 10 Personen ab, die alle mit einer führenden KI-Organisation mit Sitz in den USA verbunden sind. Das genaue Motiv für diese Angriffe bleibt unklar, aber es wird spekuliert, dass die Angreifer darauf abzielen, nicht-öffentliche Informationen über generative KI (GenAI) zu stehlen. Diese Angriffe decken sich mit Berichten, wonach die US-Regierung versucht, Chinas Zugang zu GenAI-Tools von Unternehmen wie OpenAI, Google DeepMind und Anthropic zu beschränken, was auf ein Motiv schließen lässt, das im technologischen Wettbewerb begründet ist.
Anfang dieses Jahres erhob das US-Justizministerium Anklage gegen einen ehemaligen Software-Ingenieur von Google wegen des Diebstahls geschützter Informationen und des Versuchs, diese bei zwei mit KI verbundenen Technologieunternehmen in China zu verwenden. Diese fortgeschrittene anhaltende Bedrohung (APT) unterstreicht die Möglichkeit, dass mit China verbündete Cyber-Akteure Personen mit Zugang zu KI-Technologien ins Visier nehmen, um Chinas Entwicklungsziele zu fördern.
Schlussfolgerung
Die ständige Weiterentwicklung von Malware wie Deuterbear und das Auftauchen von Bedrohungen wie Deuterbear RAT verdeutlichen die allgegenwärtige und wachsende Bedrohung durch Cyberspionage. Da Angreifer immer raffiniertere Tools und Techniken entwickeln, wird es für Unternehmen immer wichtiger, ihre Cybersicherheitsmaßnahmen um sensible Informationen zu schützen und die Geschäftskontinuität aufrechtzuerhalten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Die Platte.