详细内容或原文请订阅后点击阅览
Deuterbear RAT 攻击亚洲:为什么 BlackTech 恶意软件让研究人员感到惊讶
作为 Waterbear 的演变,新的特洛伊木马有更具体的目标......
来源:安全实验室新闻频道作为 Waterbear 的演变,新的特洛伊木马有更具体的目标......
网络安全研究人员透露了有关名为 Deuterbear RAT 的远程访问木马的新细节,该木马正被与中国有关联的黑客组织 BlackTech 用作针对亚太地区的网络间谍活动的一部分。
BlackTech 组织至少从 2007 年开始活跃,有很多名字,包括 Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn 和 Temp.Overboard。
多年来,BlackTech 在其恶意活动中一直使用 Waterbear 恶意软件,但自 2022 年 10 月以来,该组织还积极使用名为 Deuterbear 的更新版本。
“Deuterbear 虽然在很多方面与 Waterbear 相似,但有一些改进,例如避免 RAT 操作的握手信号以及使用 HTTPS 与 C2 基础设施通信,”趋势科技研究人员 Pierre Li 和 Ciris Tseng 在他的论文中解释道。新的分析。
解释 趋势科技“与 Waterbear 不同,新恶意软件使用 shellcode 格式,具有内存扫描功能,并与其下载程序共享流量密钥,”专家补充道。
这两种恶意软件都是通过一个特殊的加载程序使用DLL Sideloading方法进行分发,使用恶意库与合法的可执行文件配对来下载和解密恶意模块本身,但旧的恶意软件有一个更复杂的安装过程。
DLL 旁加载研究人员表示,Deuterbear RAT 总体上是其前身的更简化版本,与 Waterbear 引入附加功能的插件方法相比,仅保留硬编码命令。