デューターベア ラット
サイバーセキュリティ研究者らは、中国と関係のあるハッキング集団「BlackTech 」がアジア太平洋地域を標的とした最近のサイバースパイ活動で使用したリモートアクセス型トロイの木馬(RAT)「Deuterbear」に関する新たな知見を提供した。
Deuterbear RAT は、このグループが以前使用していた Waterbear という有害なツールに似ています。ただし、シェルコード プラグインのサポート、ハンドシェイクなしの操作、コマンド アンド コントロール (C&C) 通信での HTTPS の使用など、大幅な機能強化が行われています。Waterbear とは異なり、Deuterbear はシェルコード形式を採用し、メモリ スキャン対策技術を組み込み、ダウンローダーとトラフィック キーを共有します。
目次
ブラックテックは脅迫ツールの武器庫を更新している
BlackTech は少なくとも 2007 年から活動しており、サイバーセキュリティ コミュニティでは Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn、Temp.Overboard など、さまざまな名前で知られています。
このグループは、15年近くにわたり、サイバー攻撃にWaterbearマルウェア(別名DBGPRINT)を頻繁に使用してきました。しかし、2022年10月以降、彼らの攻撃にはDeuterbearと呼ばれるこのマルウェアの更新バージョンが使用されています。
BackTech が Waterbear マルウェアの配信に使用した感染チェーン
Waterbear は、パッチが適用された正規の実行ファイルを介して標的のデバイスに配信され、DLL サイドローディングを使用してローダーを起動します。次に、このローダーはダウンローダーを復号化して実行し、ダウンローダーはコマンド アンド コントロール (C&C) サーバーに接続して RAT モジュールを取得します。
興味深いことに、RAT モジュールは攻撃者が管理するインフラストラクチャから 2 回取得されます。最初の取得では Waterbear プラグインがロードされ、別のバージョンの Waterbear ダウンローダーが起動されて別の C&C サーバーから RAT モジュールが取得され、システムがさらに侵害されます。
つまり、最初の Waterbear RAT はプラグイン ダウンローダーとして機能し、2 番目の Waterbear RAT はバックドアとして機能し、60 個のコマンド セットを使用して侵害されたホストから機密情報を収集します。
Deuterbear RAT は、被害者のデバイスを侵害するために改良された感染戦術を利用しています
Deuterbear の感染経路は、RAT バックドア コンポーネントをインストールするために 2 段階を実装している点で Waterbear と非常に似ています。ただし、ある程度の調整も行われています。
この場合、第 1 段階ではローダーを使用してダウンローダーを起動し、C&C サーバーに接続して Deuterbear RAT を取得します。Deuterbear RAT は、DLL サイドローディングを介して第 2 段階のローダーを介して永続性を確立する仲介者です。このローダーは最終的にダウンローダーを実行する役割を担い、ダウンローダーは再び C&C サーバーから Deuterbear RAT をダウンロードして情報を盗みます。
感染したシステムのほとんどでは、第 2 段階の Deuterbear のみが利用可能です。第 1 段階の Deuterbear のすべてのコンポーネントは、「永続的なインストール」が完了すると完全に削除されます。
Deuterbear RATは前身とは別に進化している可能性がある
この戦略により、攻撃者の痕跡が効果的に隠され、脅威研究者が実際の被害者のシステムではなく、特にシミュレーション環境で Deuterbear マルウェアを分析することが困難になります。
Deuterbear RAT は、以前のバージョンよりも合理化されたバージョンであり、コマンドのサブセットのみを保持し、プラグインベースのアプローチを採用して機能を拡張しています。Waterbear は継続的に進化し、最終的に Deuterbear の開発につながりました。興味深いことに、Waterbear と Deuterbear は、どちらかが他方を置き換えるのではなく、どちらも独立して進化し続けています。
