BlackTech apunta a los sectores tecnológicos de investigación y gubernamentales con una nueva herramienta llamada ‘Deuterbear’

Luis Quiles

abril 20, 2024

Seguridad de la red

Los sectores de tecnología, investigación y gobierno en la región de Asia-Pacífico han sido blanco de un actor de amenazas llamado BlackTech como parte de una reciente ola de ciberataques.

Las intrusiones allanan el camino para una versión actualizada de la puerta trasera modular llamada Waterbear, así como su sucesor mejorado conocido como Deuterbear.

«Waterbear es conocido por su complejidad, ya que utiliza varios mecanismos de evasión para minimizar la posibilidad de detección y análisis», dijeron los investigadores de Trend Micro, Cyris Tseng y Pierre Lee, en un análisis la semana pasada.

«En 2022, Earth Hundun comenzó a utilizar la última versión de Waterbear, también conocida como Deuterbear, que tiene varios cambios, incluidas rutinas de escaneo y descifrado anti-memoria, que nos hacen considerarlo una entidad de malware diferente al Waterbear original».

La firma de ciberseguridad está rastreando al actor de amenazas bajo el seudónimo de Earth Hundun, que se sabe que está activo desde al menos 2007. También opera bajo otros nombres como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard.

En un aviso conjunto publicado en septiembre pasado, agencias de ciberseguridad e inteligencia de Japón y Estados Unidos atribuyeron al adversario a China, describiendo su capacidad para modificar el firmware de enrutadores y explotar las relaciones de confianza de dominio de los enrutadores para pivotar desde subsidiarias internacionales hasta sus sedes corporativas basadas en los dos países.

«Los actores de BlackTech utilizan malware personalizado, herramientas de doble uso y tácticas de ‘living-off-the-land’, como deshabilitar el registro en los enrutadores, para ocultar sus operaciones», dijeron los gobiernos.

«Una vez que obtienen una posición inicial en una red objetivo y acceso de administrador a los dispositivos perimetrales de red, los actores cibernéticos de BlackTech a menudo modifican el firmware para ocultar su actividad en los dispositivos perimetrales y así mantener la persistencia en la red».

Una de las herramientas cruciales en su arsenal multifacético es Waterbear (también conocido como DBGPRINT), que ha estado en uso desde 2009 y ha sido actualizado constantemente a lo largo de los años con características mejoradas de evasión de defensas.

El troyano remoto de acceso principal se obtiene de un servidor de comando y control (C2) mediante un descargador, que se inicia utilizando un cargador que, a su vez, se ejecuta mediante una técnica conocida llamada carga lateral de DLL.

La versión más reciente del implante admite casi 50 comandos, lo que le permite realizar una amplia gama de actividades, incluida la enumeración y terminación de procesos, operaciones de archivo, gestión de ventanas, inicio y salida de shell remoto, captura de pantalla y modificación del Registro de Windows, entre otras.

Desde 2022, también se entrega utilizando un flujo de infección similar Deuterbear, cuyo descargador implementa una serie de métodos de ofuscación para resistir el análisis anti-malware y utiliza HTTPS para comunicaciones C2.

«Desde 2009, Earth Hundun ha evolucionado y perfeccionado continuamente la puerta trasera Waterbear, así como sus numerosas variantes y ramificaciones», dijeron los investigadores.

«El descargador de Deuterbear utiliza cifrado HTTPS para proteger el tráfico de red e implementa diversas actualizaciones en la ejecución del malware, como la modificación de la función de desencriptación, la verificación de depuradores o entornos de pruebas, y la modificación de los protocolos de tráfico».

Tags :