Los sectores de tecnología, investigación y gobierno en la región de Asia y el Pacífico han sido atacados por un actor de amenazas llamado BlackTech como parte de una reciente ola de ciberataques.
Las intrusiones allanaron el camino para una versión actualizada de la puerta trasera modular denominada Waterbear, así como para su sucesor mejorado denominado Deuterbear.
«Waterbear es conocido por su complejidad, ya que utiliza una serie de mecanismos de evasión para minimizar las posibilidades de detección y análisis», dijeron los investigadores de Trend Micro Cyris Tseng y Pierre Lee en un análisis la semana pasada.
«En 2022, Earth Hundun comenzó a utilizar la última versión de Waterbear, también conocida como Deuterbear, que tiene varios cambios, incluidas rutinas de descifrado y escaneo anti-memoria, que nos hacen considerarlo una entidad de malware diferente del Waterbear original».
La firma de ciberseguridad está rastreando al actor de amenazas bajo el apodo de Earth Hundun, que se sabe que está activo desde al menos 2007. También recibe otros nombres como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard. .
En un aviso conjunto publicado en septiembre pasado, las agencias de inteligencia y ciberseguridad de Japón y Estados Unidos atribuyeron al adversario a China, describiendo su capacidad para modificar el firmware de los enrutadores y explotar las relaciones de dominio-confianza de los enrutadores para pasar de las subsidiarias internacionales a sus sedes corporativas con sede en el dos países.
«Los actores de BlackTech utilizan malware personalizado, herramientas de doble uso y tácticas de subsistencia, como desactivar el acceso a los enrutadores, para ocultar sus operaciones», dijeron los gobiernos.
«Al obtener un punto de apoyo inicial en una red objetivo y obtener acceso de administrador a los dispositivos de borde de la red, los ciberactores de BlackTech a menudo modifican el firmware para ocultar su actividad en los dispositivos de borde para mantener aún más la persistencia en la red».
Una de las herramientas cruciales de su arsenal multifacético es Waterbear (también conocido como DBGPRINT ), que se utiliza desde 2009 y se ha actualizado constantemente a lo largo de los años con funciones mejoradas de evasión de defensa.
El troyano de acceso remoto principal se recupera de un servidor de comando y control (C2) mediante un descargador, que se inicia mediante un cargador que, a su vez, se ejecuta mediante una técnica conocida llamada carga lateral de DLL.
La versión más reciente del implante admite casi 50 comandos, lo que le permite realizar una amplia gama de actividades, incluida la enumeración y terminación de procesos, operaciones de archivos, administración de ventanas, inicio y salida del shell remoto, captura de pantalla y modificación del Registro de Windows, entre otras.
También se entrega utilizando un flujo de infección similar desde 2022 Deuterbear, cuyo descargador implementa una variedad de métodos de ofuscación para resistir el antianálisis y utiliza HTTPS para las comunicaciones C2.
«Desde 2009, Earth Hundun ha evolucionado y perfeccionado continuamente la puerta trasera Waterbear, así como sus numerosas variantes y ramas», dijeron los investigadores.
«El descargador Deuterbear emplea cifrado HTTPS para proteger el tráfico de red e implementa varias actualizaciones en la ejecución de malware, como alterar la función de descifrado, comprobar si hay depuradores o entornos sandbox y modificar protocolos de tráfico».
Fuente y redacción: thehackernews.com
