More

    Earth Hundun Hacker Group koristi napredne taktike za izbjegavanje otkrivanja

    Earth Hundun, poznata azijsko-pacifička organizacija zlonamjernog softvera, koristi Waterbear i Deuterbear.

    Prvi put smo naišli na Deuterbeara u arsenalu Earth Hunduna u oktobru 2022., što je signaliziralo njegovu implementaciju.

    Industrijska distribucija krajnjih tačaka zaraženih Waterbearom i Deuterbearom od 2022.

    Industrijska distribucija krajnjih tačaka zaraženih Waterbearom i Deuterbearom od 2022.

    Ovaj izvještaj opisuje ultimativni trojanac za daljinski pristup (RAT) koji smo oporavili od C&C servera iz Earth Hundun kampanje 2024. godine.

    Na početku smo ispitali mrežne akcije Waterbear downloadera. Studija slučaja pokazuje kako su Waterbear RAT i njegovi dodaci implementirani u drugoj fazi i kako su se Waterbear programi za preuzimanje proširili po mrežama, što je komplikovalo otkrivanje i praćenje.

    Deuterbear sada podržava formate shellcode dodataka i pokreće RAT sesije bez rukovanja.

    Trendmicro analiza interakcija malvera Earth Hundun Waterbear i Deuterbear sa metama će pokazati njegovu sofisticiranu taktiku.

    Waterbear studija slučaja

    Dijagram toka prethodne kampanje prikazuje Waterbearovu aktivnost u mreži žrtve i njegovu proliferaciju preuzimača.

    Jedan od napadačkih lanaca kampanje Waterbear

    Jedan od napadačkih lanaca kampanje Waterbear

    Inicijalna faza

    Waterbear je koristio tri datoteke za početno preuzimanje.

    To uključuje modificiranu legitimnu izvršnu datoteku, učitavač i šifrirani program za preuzimanje.

    Druga faza

    Waterbear RAT (A) je preuzeo dodatak preko RAT komande 1010 i aktivirao svoju prvu funkciju izvoza, “Start”, kako bi ga ubacio u proces.

    Zavisno o ciljnoj arhitekturi procesa, dodatak uključuje nešifrirane Waterbear preuzimače 0.27 i 0.28.

    Za razliku od 32-bitnih procesa, 64-bitni procesi pokreću 0.28, povećavajući preuzimanja.

    Ovo skriva njihove tragove ili se povezuje s različitim C&C serverima u mreži žrtve, pokazujući fleksibilnost komunikacije hakera.

    Waterbear RAT   

    Komandne mogućnosti :

    • Upravljanje datotekama : Naredbe za nabrajanje disk jedinica, listanje datoteka, otpremanje i preuzimanje datoteka, preimenovanje, kreiranje foldera, brisanje datoteka, izvršavanje datoteka, premještanje datoteka i prikrivanje metapodataka datoteka.

    • Upravljanje prozorima : komande za nabrajanje, skrivanje, prikazivanje, zatvaranje, minimiziranje, maksimiziranje prozora, pravljenje snimaka ekrana i postavljanje događaja snimka ekrana.

    • Upravljanje procesima : Naredbe za nabrajanje, završetak, obustavljanje, nastavak procesa i preuzimanje informacija o modulu procesa.

    • Upravljanje mrežom : Komande za dobijanje proširenih TCP tabela i postavljanje stanja TCP unosa.

    • Upravljanje uslugama : Naredbe za nabrajanje i manipulaciju uslugama.

    • Upravljanje konfiguracijom : naredbe za dobijanje i postavljanje C&C konfiguracija.

    • Upravljanje daljinskim ljuskom : Naredbe za pokretanje, izlazak i dobivanje PID-a udaljene ljuske.

    • Upravljanje registrom : naredbe za nabrajanje, kreiranje, postavljanje i brisanje ključeva i vrijednosti registratora.

    • Osnovna kontrola : Naredbe za dobijanje trenutnog prozora, postavljanje oznaka infekcije i prekidanje veza i RAT procesa.

    • Proxy Management : Komande za ažuriranje C&C IP adresa, proxy podataka, gašenje veza i upravljanje ručkama utičnice.

    Prenos informacija o žrtvama :

    Prije izvršavanja backdoor komandi, Waterbear šalje detaljne informacije o žrtvama C&C serveru, uključujući status administratora, verziju sistema, imena hosta i korisnika, tekst prozora, informacije o adapteru, ID procesa i oznake infekcije.

    Deuterbear RAT

    Put instalacije :

    • Deuterbear koristi proces instalacije u dvije faze. Prva faza uključuje dešifriranje i postavljanje programa za preuzimanje, koji pregledava sistem i instalira komponente druge faze.

    • Komponente prve faze se uklanjaju nakon postizanja postojanosti kako bi se izbjeglo otkrivanje.

    Komandne mogućnosti :

    • Upravljanje datotekama : naredbe za popis datoteka, učitavanje i preuzimanje datoteka, preimenovanje datoteka i izvršavanje datoteka.

    • Upravljanje procesima : Naredbe za nabrajanje i završetak procesa.

    • Upravljanje konfiguracijom : Naredbe za prikupljanje i ažuriranje podataka o konfiguraciji preuzimača.

    • Upravljanje daljinskim ljuskom : Naredbe za pokretanje, izlazak i dobijanje PID-a udaljene ljuske.

    • Osnovna kontrola : Naredbe za dobijanje trenutnog prozora, postavljanje oznaka infekcije i prekidanje veza i RAT procesa.

    • Upravljanje dodacima : naredbe za preuzimanje, deinstaliranje i izvršavanje dodataka, uključujući shellcodeove i PE DLL-ove.

    Prenos informacija o žrtvama :

    Slično Waterbearu, Deuterbear šalje informacije o žrtvama C&C serveru prije izvršavanja backdoor komandi, uključujući status administratora, imena korisnika i hosta, verziju OS-a, tekst prozora, informacije o adapteru, ID procesa i oznake infekcije.

    Razlike od Waterbeara :

    Deuterbear zadržava manje komandi (20 u poređenju sa preko 60 za Waterbear), ali podržava više dodataka za poboljšavanje fleksibilnosti.

    Koristi isti HTTPS kanal i RC4 saobraćajni ključ kao downloader, eliminišući potrebu za rukovanjem sa C&C serverom za ažuriranje komunikacionih protokola.

    Waterbear je evoluirao u Deuterbear, novi zlonamjerni softver.

    Zanimljivo je da Waterbear i Deuterbear evoluiraju odvojeno, a ne da zamjenjuju jedan drugog.

    Skeniranje memorije za preuzimanja i Waterbear i Deuterbear RAT-ovi mogu zaštititi organizacije od napada Earth Hunduna. Takođe, pronalaženje registra koji se koristi za dešifrovanje Deuterbear preuzimača može pomoći u pronalaženju istog u sistemu.

    Izvor:CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories