Hakeri stalno razvijaju svoje alate kako bi bili ispred odbrambenih sistema i iskorištavali nove ranjivosti.
Istraživači sajber sigurnosti u Trend Micro izvijestili su da je grupa za sajber špijunažu Earth Hundun (BlackTech) zabilježila porast sajber napada.
Ovi napadi iskorištavaju porodicu virusa Waterbear, koja je poznata po svojim složenim antianalitičkim vještinama i redovito revidiranim učitavačima, preuzimačima i komunikacijskim protokolima od strane programera.
Najnovija verzija, Deuterbear, koristi razrađenije strategije izbjegavanja koje zahtijevaju detaljno ispitivanje ove višestruke zalihe malvera, koje se koristi za špijuniranje, posebno u azijsko-pacifičkoj regiji.
Waterbear i Deuterbear alati
Od 2009. godine, Waterbear je prošao više od deset verzija, pri čemu su programeri kontinuirano radili na procesima infekcije sve do trenutka kada je postignut uspješan kompromis koji je rezultovao višestrukom koegzistencijom ovih verzija među žrtvama.
Važno je napomenuti da neki Waterbear preuzimači koriste interne IP adrese kao svoje C&C servere, što sugeriše da oni duboko poznaju ciljne mreže i koriste višeslojne jump servere kako bi prikriveno opstajali i kontrolisali ugrožena okruženja.
Činjenica da su ove sofisticirane tehnike dizajnirane za izbjegavanje i dugovječnost odražava naprednu prirodu ovih napada, kao i odlučne napore hakera koji stoje iza ove porodice malvera koja se stalno mijenja.
Dijagram toka infekcije vodenim medvjedima (izvor – Trend Micro)
Deuterbear je najnovija varijanta Waterbear programa za preuzimanje koji je bio aktivan od 2022. godine i predstavlja poseban entitet zlonamjernog softvera odvojen od originalne kategorije preuzimača Waterbear-a.
Ova klasifikacija potiče od značajnih ažuriranja njegovog toka dešifrovanja i strukture konfiguracije, označavajući značajnu evoluciju u mogućnostima malvera.
Dijagram toka infekcije Deuterbear (izvor – Trend Micro)
Poređenje između Deuterbeara i Waterbeara
Ovdje ispod smo spomenuli sve ključne razlike između Deuterbear downloadera i Waterbear downloadera:-
Poređenje (izvor – Trend Micro)
Grupa Earth Hundun neprestano transformiše Waterbear u napredniju verziju poznatu kao Deuterbear od 2009. godine.
Korištenje HTTPS enkripcije, provjera debagera/sandboxa, promijenjenog dešifriranja i ažuriranih protokola čini Deuterbear najnovijim u sofistikovanim metodama infekcije i mehanizmima protiv analize.
Earth Hundun i dalje prodire u azijsko-pacifičke ciljeve uprkos ovoj odbrani, sa sve boljim Waterbear-om koji predstavlja značajne poteškoće.
Indikatori kompromisa
Fajlovi SHA-256Detection Name
- e669aaf63552430c6b7c6bd158bcd1e7a11091c164eb034319e1188d43b5490c Trojan.Win64.WATERBEAR.ZTLC
- 0da9661ed1e73a58bd1005187ad9251bcdea317ca59565753d86ccf1e56927b8 Trojan.Win64.WATERBEAR.ZTLC.enc
- ca0423851ee2aa3013fe74666a965c2312e42d040dbfff86595eb530be3e963f Trojan.Win64.WATERBEAR.ZTLA
- 6dcc3af7c67403eaae3d5af2f057f0bb553d56ec746ff4cb7c03311e34343ebd Trojan.Win64.WATERBEAR.ZTLC.enc
- ab8d60e121d6f121c250208987beb6b53d4000bc861e60b093cf5c389e8e7162 Trojan.Win64.WATERBEAR.ZTLB
- a569df3c46f3816d006a40046dae0eb1bc3f9f1d4d3799703070390e195f6dd4 Trojan.Win64.WATERBEAR.ZTLC.enc
- e483cae34eb1e246c3dd4552b2e71614d4df53dc0bac06076442ffc7ac2e06b2 Trojan.Win64.WATERBEAR.ZTLB
- c97e8075466cf91623b1caa1747a6c5ee38c2d0341e0a3a2fa8fcf5a2e6ad3a6 Trojan.Win64.WATERBEAR.ZTLB
- 6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 Trojan.Win64.WATERBEAR.ZTLB.enc
- d665aea7899ad317baf1b6e662f40a10d42045865f9eea1ab18993b50dd8942d Trojan.Win64.DEUTERBEAR.ZTLC
- dc60d8b1eff66bfb91573c8f825695e27b0813a9891bd0541d9ff6a3ae7e8cf2 Trojan.Win64.DEUTERBEAR.ZTLC.enc
- 4540132def6dfa6d181cabf1e1689bede5ecfef6450b033fecb0aeb1fe1b3fe9 Trojan.Win64.DEUTERBEAR.ZTLC
- 8f26069b6b49391f245b8551aa42ca4814c52e7f52d0343916f5262557bf5c52 Trojan.Win64.DEUTERBEAR.ZTLC.enc
- 74efa0ce94f4285404108d3d19bf2ff64c7c3a1c85e9b59cf511b56f9d71dc05 Trojan.Win64.DEUTERBEAR.ZTLC
- d6ac4f364b25365eb4a5636beffc836243743ecf7ef4ec391252119aed924cab Trojan.Win64.DEUTERBEAR.ZTLC.enc
Mreža
- freeprous.bakhell[.]com:443
- cloudflaread.quadrantbd[.]com:443
- showgyella.quadrantbd[.]com:443
- rscvmogt.taishanlaw[.]com:443
- smartclouds.gelatosg[.]com:443
- suitsvm003.rchitecture[.]org:443
- cloudsrm.gelatosg[.]com:443
Izvor:CybersecurityNews