This post was originally published on this site
Οι τομείς της τεχνολογίας, της έρευνας και της κυβέρνησης στην περιοχή Ασίας-Ειρηνικού, έχουν γίνει στόχος ενός παράγοντα απειλών που ονομάζεται BlackTech ως μέρος ενός πρόσφατου κύματος επιθέσεων στον κυβερνοχώρο, με τη χρήση του Deuterbear backdoor.
Δείτε επίσης: HackerOne: Έχει δώσει πάνω από $300 εκατομμύρια σε προγράμματα bug bounty
Οι εισβολές της ομάδας BlackTech ανοίγουν το δρόμο για μια ενημερωμένη έκδοση του modular backdoor που ονομάζεται Waterbear καθώς και για τον βελτιωμένο διάδοχό του που αναφέρεται ως Deuterbear.
«Το Waterbear είναι γνωστό για την πολυπλοκότητά του, καθώς χρησιμοποιεί διάφορους μηχανισμούς διαφυγής για να ελαχιστοποιήσει την πιθανότητα ανίχνευσης και ανάλυσης», δήλωσαν οι ερευνητές της Trend Micro Cyris Tseng και Pierre Lee σε μια ανάλυση την περασμένη εβδομάδα.
Η εταιρεία κυβερνοασφάλειας παρακολουθεί τον παράγοντα απειλής με την επωνυμία Earth Hundun, η οποία είναι γνωστό ότι είναι ενεργή τουλάχιστον από το 2007. Επίσης ακούει και άλλα ονόματα όπως Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn και Temp.Overboard .
Σε μια κοινή συμβουλευτική που δημοσιεύθηκε τον περασμένο Σεπτέμβριο, οι υπηρεσίες κυβερνοασφάλειας και πληροφοριών από την Ιαπωνία και τις ΗΠΑ ανακάλυψαν ότι οι επιτιθέμενοι προέρχονται από την Κίνα, περιγράφοντας την ικανότητά του να τροποποιεί το υλικολογισμικό του δρομολογητή και να εκμεταλλεύεται τις σχέσεις τομέα-εμπιστοσύνης των δρομολογητών για να μετακινούνται από διεθνείς θυγατρικές στα εταιρικά τους κεντρικά γραφεία που εδρεύουν στην δύο χώρες.
Δείτε ακόμα: Βορειοκορεάτες hackers στοχεύουν blockchain engineers με το Kandykorn malware
«Οι παράγοντες της BlackTech χρησιμοποιούν προσαρμοσμένο κακόβουλο λογισμικό (Deuterbear), εργαλεία διπλής χρήσης και τακτικές, όπως η απενεργοποίηση της καταγραφής σε δρομολογητές, για να κρύψουν τις λειτουργίες τους», ανέφεραν οι κυβερνήσεις.
Ένα από τα κρίσιμα εργαλεία στο πολύπλευρο οπλοστάσιό του είναι το Waterbear (γνωστό και ως DBGPRINT), το οποίο έχει τεθεί σε χρήση από το 2009 και ενημερώνεται συνεχώς με τα χρόνια με βελτιωμένα χαρακτηριστικά αμυντικής αποφυγής.
Ο πυρήνας trojan απομακρυσμένης πρόσβασης λαμβάνεται από έναν διακομιστή εντολών και ελέγχου (C2) μέσω ενός προγράμματος λήψης, το οποίο εκκινείται χρησιμοποιώντας έναν φορτωτή που, με τη σειρά του, εκτελείται μέσω μιας γνωστής τεχνικής που ονομάζεται πλευρική φόρτωση DLL.
Η νεότερη έκδοση του εμφυτεύματος υποστηρίζει σχεδόν 50 εντολές, επιτρέποντάς του να εκτελεί ένα ευρύ φάσμα δραστηριοτήτων, όπως απαρίθμηση και τερματισμό διεργασιών, λειτουργίες αρχείων, διαχείριση παραθύρων, έναρξη και έξοδο απομακρυσμένου shell, λήψη στιγμιότυπου οθόνης και τροποποίηση μητρώου των Windows, μεταξύ άλλων.
Δείτε επίσης: Ουκρανοί hacker καταστρέφουν την υποδομή IT του Moscollector
Το Deuterbear, που χρησιμοποιεί η ομάδα BlackTech, επίσης παραδίδεται με χρήση παρόμοιας ροής μόλυνσης από το 2022 και το πρόγραμμα λήψης του εφαρμόζει μια σειρά από μεθόδους συσκότισης για να αντισταθεί στην ανάλυση και χρησιμοποιεί HTTPS για επικοινωνίες C2.
Πηγή: thehackernews
https://www.secnews.gr/security/
Add Comment