RAT Deuterbear : l'outil de cyberespionnage des pirates liés à la Chine
Les médias affirment que des experts en cybersécurité ont récemment dévoilé de nouveaux détails sur un cheval de Troie d'accès à distance (RAT). cheval de Troie d'accès à distance (RAT) nommé Deuterbear, utilisé par le groupe de pirates informatiques groupe de pirates informatiques lié à la Chine BlackTech. Ce cheval de Troie sophistiqué RAT Deuterbear s'inscrit dans le cadre d'une vaste opération de cyberespionnage visant la région Asie-Pacifique tout au long de l'année.
Progrès par rapport à Waterbear
Deuterbear présente des avancées notables par rapport à son prédécesseur, Waterbear. Selon les chercheurs de Trend Micro, Pierre Lee et Cyris Tseng, Deuterbear RATincorpore des capacités améliorées telles que la prise en charge des plugins shellcodel'omission des exigences relatives à la poignée de main pour les opérations du RAT et l'utilisation de HTTPS pour les communications de commande et de contrôle (C&C). Contrairement à Waterbear, Deuterbear utilise un format de shellcode, inclut des fonctions d'analyse de la mémoire et partage une clé de trafic avec son téléchargeur, ce qui représente des améliorations significatives.
La longue histoire des cyberattaques de BlackTech
Actif depuis au moins 2007, BlackTech a été reconnu par divers noms de la communauté de la cybersécurité, dont Circuit Panda, Earth HundunHUAPI, Manga Taurus, Palmerworm, Red Djinn et Temp.Overboard.
Depuis près de 15 ans, les cyberattaques du groupe impliquent le déploiement de logiciels malveillants tels que Waterbear, également connu sous le nom de DBGPRINT. Cependant, depuis octobre 2022, le groupe utilise également une version actualisée du logiciel malveillant appelée Deuterbear RAT.
Mécanismes d'infection : Waterbear vs. Deuterbear
Dans cette cyberattaque, les auteurs de la menace ont utilisé une tactique d'infection en deux étapes. tactique d'infection en deux étapes pour compromettre le système cible. Waterbear s'infiltre généralement dans les systèmes au moyen d'un exécutable légitime corrigé, qui utilise le chargement latéral de DLL pour lancer un chargeur.
Ce chargeur décrypte et exécute un téléchargeur, qui contacte un serveur C&C pour récupérer le RAT . Il est intéressant de noter que le module RAT est récupéré deux fois à partir d'une infrastructure contrôlée par l'attaquant.
La première récupération charge un plugin Waterbear qui renforce la compromission en lançant une version différente du téléchargeur Waterbear pour récupérer le module RAT à partir d'un autre serveur C&C. Essentiellement, le premier RAT Waterbear agit comme un téléchargeur de plugins, tandis que le second sert de porte dérobée, extrayant des informations sensibles de l'hôte compromis par le biais de 60 commandes.
Cette campagne de campagne de cyberespionnage suit un chemin d'infection similaire, mais avec quelques modifications. La première étape utilise un chargeur pour lancer un téléchargeur qui se connecte au serveur C&C pour récupérer le RAT Deuterbear. Cet intermédiaire établit ensuite la persistance par l'intermédiaire d'un chargeur de deuxième étape via un chargement latéral de DLL. Le chargeur exécute finalement un téléchargeur qui télécharge à nouveau le RAT Deuterbear à partir d'un serveur C&C, dans le but de voler des informations.
Selon les chercheurs, seule la deuxième étape de Deuterbear est généralement trouvée sur les systèmes infectés, car tous les composants de la première étape sont supprimés après l'installation de la persistance afin de protéger les traces des attaquants et de compliquer l'analyse par les chercheurs en cybersécurité.
Évolution et poursuite du développement du RAT Deuterbear
Deuterbear est une version simplifiée du logiciel malveillant logiciel malveillant WaterbearIl ne conserve qu'un sous-ensemble de commandes et adopte une approche basée sur des plugins pour ajouter davantage de fonctionnalités. Trend Micro note que Waterbear et Deuterbear continuent d'évoluer indépendamment l'un de l'autre, l'un ne remplaçant pas l'autre.
Campagnes ciblées et nouvelles menaces
Parallèlement, l'émergence du RAT SugarGh0st constitue un autre développement important dans le paysage des cybermenaces. Proofpoint a décrit une campagne cybernétique "extrêmement ciblée" visant les organisations américaines impliquées dans les efforts d'intelligence artificielle (IA), y compris les universités, l'industrie privée et les entités gouvernementales.
Cette campagne, repérée sous le nom UNK_SweetSpecter, utilise le RAT SugarGh0st, une variante personnalisée de l'ancien RAT Gh0st, couramment utilisé par les acteurs de la menace parlant chinois.
Le RAT SugarGh0st est apparu pour la première fois à la fin de l'année dernière lorsque Cisco Talos a signalé son utilisation dans des attaques visant le ministère des affaires étrangères de l'Ouzbékistan et des utilisateurs sud-coréens. Ces intrusions ont été attribuées à des acteurs soupçonnés de parler chinois. Les chaînes d'attaque impliquent des messages d'hameçonnage sur le thème de l'intelligence artificielle contenant une archive ZIP qui contient un fichier de raccourci Windows, qui déploie ensuite un dropper JavaScript pour lancer la charge utile SugarGh0st.
Campagnes récentes et motifs potentiels
La campagne de mai 2024 visait spécifiquement moins de 10 personnes, toutes liées à une organisation américaine de premier plan dans le domaine de l'IA. Le motif exact de ces attaques n'est pas clair, mais on suppose que les attaquants cherchent à voler des informations non publiques sur l'IA générative (GenAI). Ce ciblage coïncide avec des rapports selon lesquels le gouvernement américain cherche à restreindre l'accès de la Chine aux outils d'IA générative d'entreprises telles que OpenAI, Google DeepMind et Anthropic, ce qui suggère un motif ancré dans la concurrence technologique.
Au début de l'année, le ministère américain de la justice a inculpé un ancien ingénieur logiciel de Google pour avoir volé des informations exclusives et tenté de les utiliser dans deux entreprises technologiques chinoises affiliées à l'IA. Cette menace persistante avancée (APT) souligne la possibilité que des cyberacteurs alignés sur la Chine ciblent des personnes ayant accès aux technologies de l'IA pour faire avancer les objectifs de développement de la Chine.
Conclusion
L'évolution continue des logiciels malveillants comme Deuterbear et l'émergence de menaces comme le Deuterbear RAT mettent en évidence la menace croissante et omniprésente du cyberespionnage. Alors que les attaquants développent des outils et des techniques de plus en plus sophistiqués, il devient de plus en plus important pour les organisations de renforcer leurs mesures de cybersécurité afin de protéger les informations sensibles et de maintenir la continuité des activités.
Les sources de cet article comprennent des articles dans The Hacker News et The Record.