Les pirates informatiques liés à la Chine adoptent une tactique d’infection en deux étapes pour déployer Deuterbear RAT
Des chercheurs en cybersécurité ont fait la lumière sur un cheval de Troie d’accès à distance (RAT) connu sous le nom de Deuterbear, utilisé par le groupe de piratage BlackTech lié à la Chine dans le cadre d’une campagne de cyberespionnage ciblant la région Asie-Pacifique cette année.
“Deuterbear, bien que similaire à Waterbear à bien des égards, présente des avancées en termes de capacités telles que la prise en charge des plugins shellcode, l’évitement des poignées de main pour le fonctionnement RAT et l’utilisation de HTTPS pour la communication C&C”, ont déclaré Pierre Lee et Cyris Tseng, chercheurs de Trend Micro , dans une nouvelle analyse. .
“En comparant les deux variantes de malware, Deuterbear utilise un format shellcode, possède une analyse anti-mémoire et partage une clé de trafic avec son téléchargeur contrairement à Waterbear.”
BlackTech , actif depuis au moins 2007, est également suivi par la communauté plus large de la cybersécurité sous les surnoms Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn et Temp.Overboard.
Les cyberattaques orchestrées par le groupe impliquent depuis près de 15 ans le déploiement d’un malware appelé Waterbear (alias DBGPRINT), bien que les campagnes observées depuis octobre 2022 aient également utilisé une version mise à jour appelée Deuterbear.
Waterbear est fourni au moyen d’un exécutable légitime corrigé, qui exploite le chargement latéral de DLL pour lancer un chargeur qui décrypte et exécute ensuite un téléchargeur, qui contacte ensuite un serveur de commande et de contrôle (C&C) pour récupérer le module RAT.
Il est intéressant de noter que le module RAT est récupéré deux fois depuis l’infrastructure contrôlée par l’attaquant, la première étant simplement utilisée pour charger un plugin Waterbear qui renforce la compromission en lançant une version différente du téléchargeur Waterbear pour récupérer le module RAT depuis un autre serveur C&C.
En d’autres termes, le premier Waterbear RAT sert de téléchargeur de plugin tandis que le second Waterbear RAT fonctionne comme une porte dérobée, récoltant des informations sensibles de l’hôte compromis via un ensemble de 60 commandes.
La voie d’infection de Deuterbear est très similaire à celle de Waterbear dans la mesure où elle implémente également deux étapes pour installer le composant de porte dérobée RAT, mais la modifie également dans une certaine mesure.
Dans ce cas, la première étape utilise le chargeur pour lancer un téléchargeur, qui se connecte au serveur C&C pour récupérer Deuterbear RAT, un intermédiaire qui sert à établir la persistance via un chargeur de deuxième étape via le chargement latéral de DLL.
Ce chargeur est en fin de compte responsable de l’exécution d’un téléchargeur, qui télécharge à nouveau le Deuterbear RAT à partir d’un serveur C&C pour le vol d’informations.
“Dans la plupart des systèmes infectés, seul le Deuterbear de deuxième étape est disponible”, ont indiqué les chercheurs. “Tous les composants du premier étage Deuterbear sont totalement retirés une fois l’installation de persistance terminée.”
/>“Cette stratégie protège efficacement leurs traces et empêche les logiciels malveillants d’être facilement analysés par les chercheurs en menaces, en particulier dans des environnements simulés plutôt que dans des systèmes de victimes réelles.”
Deuterbear RAT est également une version plus simplifiée de son prédécesseur, ne conservant qu’un sous-ensemble de commandes au profit d’une approche basée sur des plugins pour incorporer davantage de fonctionnalités.
“Waterbear a connu une évolution continue, donnant finalement lieu à l’émergence d’un nouveau malware, Deuterbear”, a déclaré Trend Micro. “Il est intéressant de noter que Waterbear et Deuterbear continuent d’évoluer indépendamment, plutôt que de simplement remplacer l’autre.”
Une campagne ciblée fournit SugarGh0st RAT#
Cette divulgation intervient alors que Proofpoint a détaillé une cyber-campagne « extrêmement ciblée » ciblant les organisations aux États-Unis impliquées dans des efforts d’intelligence artificielle, notamment le monde universitaire, le secteur privé et le gouvernement, pour diffuser un malware appelé SugarGh0st RAT.
La société de sécurité d’entreprise suit le cluster d’activités émergent sous le nom UNK_SweetSpecter.
“SugarGh0st RAT est un cheval de Troie d’accès à distance et est une variante personnalisée de Gh0st RAT, un cheval de Troie plus ancien généralement utilisé par les acteurs malveillants parlant chinois”, a déclaré la société . “SugarGh0st RAT a toujours été utilisé pour cibler les utilisateurs d’Asie centrale et orientale.”
SugarGh0st RAT a été documenté pour la première fois à la fin de l’année dernière par Cisco Talos dans le cadre d’une campagne ciblant le ministère des Affaires étrangères de l’Ouzbékistan et les utilisateurs sud-coréens depuis août 2023. Les intrusions ont été attribuées à un acteur menaçant présumé parlant chinois.
Les chaînes d’attaque impliquent l’envoi de messages de phishing sur le thème de l’IA contenant une archive ZIP qui, à son tour, contient un fichier de raccourci Windows pour déployer un compte-gouttes JavaScript chargé de lancer la charge utile SugarGh0st.
“La campagne de mai 2024 semble cibler moins de 10 personnes, qui semblent toutes avoir un lien direct avec une seule organisation d’intelligence artificielle de premier plan basée aux États-Unis, selon une recherche open source”, a déclaré la société.
L’objectif final des attaques n’est pas clair, bien qu’il soit théorisé qu’il pourrait s’agir d’une tentative de vol d’informations non publiques sur l’intelligence artificielle générative (GenAI).
De plus, le ciblage d’entités américaines coïncide avec des informations selon lesquelles le gouvernement américain cherche à restreindre l’accès de la Chine aux outils GenAI d’entreprises comme OpenAI, Google DeepMind et Anthropic, offrant des motivations potentielles.
Plus tôt cette année, le ministère américain de la Justice (DoJ) a également inculpé un ancien ingénieur logiciel de Google pour avoir volé des informations exclusives à l’entreprise et tenté de les utiliser dans deux sociétés technologiques affiliées à l’IA en Chine, dont une qu’il a fondée vers mai 2023.
“Il est possible que si les entités chinoises n’ont pas accès aux technologies qui sous-tendent le développement de l’IA, alors les cyber-acteurs alignés sur la Chine ciblent ceux qui ont accès à ces informations pour faire avancer les objectifs de développement chinois”, a déclaré la société.