趨勢科技針對中國駭客組織BlackTech(他們將稱為Earth Hundun)提出警告,指出近期針對科技業、研究機構、政府機關的網路攻擊,出現顯著增加的現象,而且,這些攻擊行動運用名為Waterbear的後門程式,其中最新版本的變種程式特別獲得獨立命名,稱為Deuterbear。
研究人員指出,Waterbear是結構極為複雜的武器,具有廣泛的反除錯、反沙箱、迴避防毒軟體能力。
到了2022年,這些駭客改用名為Deuterbear的新版後門程式,研究人員發現其解密流程與配置的結構出現重大變化,其下載、載入惡意程式的功能有明顯不同。
以下載模組的部分為例,攻擊者導入HTTPS隧道來處理流量,並利用處理程序執行時間檢查除錯模式、透過API及睡眠模式來偵察是否於沙箱環境。此外,該模組也具備反記憶體掃描的偵測功能。
研究人員指出,該後門程式藉由特定的金鑰對所有功能模組進行加密處理,並使用新的虛擬記憶體區塊來執行被呼叫的功能,從而迴避相關偵測。
研究人員指出,對方在受害電腦部署惡意程式的流程相當複雜、隱密。有別於Waterbear傳送金鑰供C2驗證,成功後就接受惡意程式,他們看到攻擊者在下載RAT木馬程式的過程中,Deuterbear先是與C2建立HTTPS連線,然後傳送RC4私鑰,並驗證C2回傳的金鑰,確認後才發出下載請求、取得RAT程式的大小並下載。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-24
2024-12-23
2024-12-23
Advertisement