IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

BlackTech se zaměřuje na technický, výzkumný a státní sektor novým nástrojem Deuterbear

BlackTech Deuterbear

Technologický, výzkumný a vládní sektor v asijsko-pacifickém regionu se v rámci nedávné vlny kybernetických útoků stal terčem útoků aktéra BlackTech.

Tyto průniky otevírají cestu aktualizované verzi modulárního backdooru nazvaného Waterbear a také jeho vylepšenému nástupci označovanému jako Deuterbear.

Společnost Trend Micro sleduje aktéra hrozeb pod přezdívkou Earth Hundun, o němž je známo, že je aktivní nejméně od roku 2007. Vystupuje také pod dalšími jmény, jako jsou Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn a Temp.Overboard.

„Waterbear je známý svou složitostí, protože používá řadu únikových mechanismů, aby minimalizoval šanci na odhalení a analýzu,“ uvedli v analýze výzkumníci společnosti Trend Micro Cyris Tseng a Pierre Lee.

„V roce 2022 začal Earth Hundun používat nejnovější verzi Waterbearu – známou také jako Deuterbear – která má několik změn, včetně skenování paměti a dešifrovacích rutin, díky nimž ji považujeme za jinou entitu malwaru než původní Waterbear.“

Ve společném doporučení zveřejněném loni v září kyberbezpečnostní a zpravodajské agentury z Japonska a USA přisoudily protivníka Číně a popsaly jeho schopnost modifikovat firmware směrovačů a využívat vztahů mezi doménami směrovačů k tomu, aby se z mezinárodních dceřiných společností otáčely do jejich firemních ústředí sídlících v obou zemích.

„Aktéři BlackTechu používají k utajení svých operací vlastní malware, nástroje dvojího použití a taktiky „žijící mimo zemi“, jako je vypnutí přihlašování na směrovačích,“ uvedly vlády.

„Po získání počátečního zázemí v cílové síti a získání administrátorského přístupu k okrajovým zařízením sítě kybernetičtí aktéři BlackTech často upravují firmware, aby skryli svou činnost v okrajových zařízeních a dále si udrželi setrvání v síti.“

Jedním z klíčových nástrojů v jeho mnohotvárném arzenálu je Waterbear (alias DBGPRINT), který je používán od roku 2009 a v průběhu let byl důsledně aktualizován o vylepšené funkce pro vyhýbání se obraně.

Jádro trojského koně pro vzdálený přístup se získává ze serveru C2 (command-and-control) pomocí downloaderu, který se spouští pomocí loaderu, jenž se zase spouští pomocí známé techniky zvané DLL side-loading.

Nejnovější verze implantátu podporuje téměř 50 příkazů, které mu umožňují provádět širokou škálu činností, mimo jiné výčet a ukončení procesů, operace se soubory, správu oken, spuštění a ukončení vzdáleného shellu, pořízení snímku obrazovky a modifikaci registru systému Windows.

Zdroj: thehackernews.com

Průvodce hackera k prolomení hesel
security

Průvodce hackera k prolomení hesel

Obrana bezpečnosti vaší organizace je jako opevnění hradu – musíte pochopit, kde útočníci zaútočí a jak se pokusí prolomit vaše zdi. Hackeři neustále hledají slabiny,

ČÍST DÁLE »