Pesquisadores de cibersegurança forneceram mais detalhes sobre um remote access trojan (RAT) conhecido como Deuterbear, utilizado pelo grupo de hackers ligado à China, BlackTech, como parte de uma campanha de espionagem cibernética com alvo na região da Ásia-Pacífico este ano.
"Deuterbear, embora semelhante ao Waterbear em muitos aspectos, mostra avanços em capacidades como incluir suporte para shellcode plugins, evitar handshakes para operação de RAT e usar HTTPS para comunicação C&C," afirmaram os pesquisadores da Trend Micro, Pierre Lee e Cyris Tseng, em uma nova análise.
"Comparando as duas variantes de malware, Deuterbear utiliza um formato de shellcode, possui proteção contra anti-memory scanning e compartilha uma traffic key com seu downloader, diferentemente do Waterbear."
BlackTech, ativa desde pelo menos 2007, também é acompanhada pela comunidade de cibersegurança sob os codinomes Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Os ataques cibernéticos orquestrados pelo grupo envolveram por muito tempo a implementação de um malware chamado Waterbear (também conhecido como DBGPRINT) por quase 15 anos, embora campanhas observadas desde outubro de 2022 também tenham utilizado uma versão atualizada chamada Deuterbear.
O Waterbear é entregue por meio de um executável legítimo patcheado, que utiliza DLL side-loading para lançar um loader que, em seguida, descriptografa e executa um downloader, que subsequentemente contata um servidor de comando e controle (C&C) para recuperar o módulo RAT.
Interessantemente, o módulo RAT é buscado duas vezes da infraestrutura controlada pelo atacante, a primeira das quais é usada apenas para carregar um plugin do Waterbear que avança no comprometimento lançando uma versão diferente do downloader do Waterbear para recuperar o módulo RAT de outro servidor C&C.
Em outras palavras, o primeiro RAT do Waterbear serve como um downloader de plugins enquanto o segundo RAT do Waterbear funciona como uma backdoor, coletando informações sensíveis do host comprometido por meio de um conjunto de 60 comandos.
O caminho de infecção para o Deuterbear é bastante semelhante ao do Waterbear, no sentido de que também implementa dois estágios para instalar o componente backdoor do RAT, mas também o altera de certa forma.
O primeiro estágio, neste caso, emprega o loader para lançar um downloader, que se conecta ao servidor C&C para buscar o RAT do Deuterbear, um intermediário que serve para estabelecer persistência por meio de um segundo estágio de loader via DLL side-loading.
Este loader é, em última análise, responsável por executar um downloader, que novamente baixa o RAT do Deuterbear de um servidor C&C para o roubo de informações.
"Na maioria dos sistemas infectados, apenas o Deuterbear da segunda etapa está disponível," disseram os pesquisadores.
Todos os componentes do Deuterbear da primeira etapa são completamente removidos após a 'instalação da persistência' ser concluída.
Essa estratégia protege eficazmente seus rastros e impede que o malware seja facilmente analisado por pesquisadores de ameaças, particularmente em ambientes simulados em vez de sistemas de vítimas reais.
O RAT Deuterbear também é uma versão mais simplificada de seu predecessor, retendo apenas um subconjunto dos comandos em favor de uma abordagem baseada em plugins para incorporar mais funcionalidades.
"O Waterbear passou por uma evolução contínua, eventualmente levando ao surgimento de um novo malware, o Deuterbear," disse a Trend Micro.
Interessantemente, tanto o Waterbear quanto o Deuterbear continuam a evoluir independentemente, em vez de um simplesmente substituir o outro.
A revelação ocorre enquanto a Proofpoint detalhou uma campanha cibernética "extremamente direcionada" com alvo em organizações nos EUA envolvidas em esforços de inteligência artificial, incluindo academia, indústria privada e governo, para entregar um malware chamado SugarGh0st RAT.
A empresa de segurança empresarial está rastreando o cluster de atividade emergente sob o nome UNK_SweetSpecter.
"SugarGh0st RAT é um remote access trojan, e é uma variante personalizada do Gh0st RAT, um trojan de commodity mais antigo, tipicamente usado por atores de ameaças de fala chinesa," disse a empresa.
O SugarGh0st RAT tem sido historicamente utilizado para mirar usuários na Ásia Central e Oriental.
O SugarGh0st RAT foi documentado pela primeira vez no ano passado pela Cisco Talos em conexão com uma campanha visando o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos desde agosto de 2023.
As intrusões foram atribuídas a um ator de ameaça de fala chinesa suspeito.
As cadeias de ataque envolvem enviar mensagens de phishing temáticas em IA contendo um arquivo ZIP que, por sua vez, empacota um arquivo de atalho do Windows para implantar um JavaScript dropper responsável por lançar o payload do SugarGh0st.
"A campanha de maio de 2024 pareceu mirar em menos de 10 indivíduos, todos aparentando ter uma conexão direta com uma única organização líder de inteligência artificial baseada nos EUA de acordo com pesquisas de fontes abertas," disse a empresa.
O objetivo final dos ataques não é claro, embora se teorize que possa ser uma tentativa de roubar informações não públicas sobre inteligência artificial generativa (GenAI).
Além disso, o direcionamento de entidades dos EUA coincide com reportagens noticiosas de que o governo dos EUA está buscando restringir o acesso da China a ferramentas de GenAI de empresas como OpenAI, Google DeepMind e Anthropic, oferecendo potenciais motivos.
No início deste ano, o Departamento de Justiça dos EUA (DoJ) também indiciou um ex-engenheiro de software da Google por roubar informações proprietárias da empresa e tentar usá-las em duas empresas de tecnologia afiliadas à IA na China, incluindo uma que ele fundou por volta de maio de 2023.
"É possível que, se entidades chinesas forem restringidas de acessar tecnologias subjacentes ao desenvolvimento de IA, então atores cibernéticos alinhados com a China possam mirar aqueles com acesso a essa informação para avançar nos objetivos de desenvolvimento chinês," disse a empresa.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...