德特熊鼠

网络安全研究人员对 Deuterbear 提供了新的见解，Deuterbear 是一种远程访问木马 (RAT)，由与中国有关的BlackTech黑客组织在最近针对亚太地区的网络间谍活动中使用。

Deuterbear RAT 与该组织之前使用的一种有害工具 Waterbear 类似。但是，它具有显著的增强功能，包括支持 shellcode 插件、无需握手即可操作以及使用 HTTPS 进行命令和控制 (C&C) 通信。与 Waterbear 不同，Deuterbear 采用 shellcode 格式，结合了反内存扫描技术，并与其下载器共享流量密钥。

BlackTech 一直在更新其威胁工具库

BlackTech 自 2007 年起就开始活跃，在网络安全社区中有各种名称，包括 Circuit Panda、Earth Hundun、HUAPI、Manga Taurus、Palmerworm、Red Djinn 和 Temp.Overboard。

近 15 年来，该组织经常在网络攻击中使用 Waterbear 恶意软件（也称为 DBGPRINT）。然而，自 2022 年 10 月以来，他们的活动采用了该恶意软件的更新版本，称为 Deuterbear。

BackTech 用于传播 Waterbear 恶意软件的感染链

Waterbear 通过已修补的合法可执行文件传送到目标设备，该可执行文件使用 DLL 侧载来启动加载程序。然后，该加载程序解密并执行下载程序，该下载程序会联系命令和控制 (C&C) 服务器以检索 RAT 模块。

有趣的是，RAT 模块从攻击者控制的基础设施中被提取了两次。第一次提取加载了 Waterbear 插件，该插件通过启动不同版本的 Waterbear 下载程序从另一个 C&C 服务器检索 RAT 模块，从而进一步破坏系统。

换句话说，初始 Waterbear RAT 充当插件下载器，而第二个 Waterbear RAT 充当后门，使用一组 60 个命令从受感染主机收集敏感信息。

Deuterbear RAT 利用改良的感染策略来感染受害者的设备

Deuterbear 的感染途径与 Waterbear 非常相似，同样采用两个阶段来安装 RAT 后门组件。不过，它也进行了一些调整。

在本例中，第一阶段利用加载程序启动下载程序，下载程序连接到 C&C 服务器以获取 Deuterbear RAT，Deuterbear RAT 是一个中介程序，用于通过 DLL 侧载通过第二阶段加载程序建立持久性。该加载程序最终负责执行下载程序，下载程序再次从 C&C 服务器下载 Deuterbear RAT 以窃取信息。

在大多数受感染的系统中，只有第二阶段的 Deuterbear 可用。“持久性安装”完成后，第一阶段 Deuterbear 的所有组件将被彻底删除。

Deuterbear RAT 可能与其前身不同，正在独立进化

这一策略有效地掩盖了攻击者的踪迹，使威胁研究人员难以分析 Deuterbear 恶意软件，尤其是在模拟环境中，而不是实际的受害者系统中。

Deuterbear RAT 是其前身的精简版，仅保留了部分命令，并采用基于插件的方法来扩展其功能。Waterbear 经历了持续的演变，最终导致了 Deuterbear 的开发。有趣的是，Waterbear 和 Deuterbear 都在继续独立发展，而不是一个取代另一个。