Các lĩnh vực công nghệ, nghiên cứu và chính phủ ở khu vực châu Á-Thái Bình Dương đã bị nhắm mục tiêu bởi một tác nhân đe dọa có tên BlackTech như một phần của làn sóng tấn công mạng gần đây.
Các cuộc xâm nhập mở đường cho một phiên bản cập nhật của backdoor mô-đun được đặt tên là Waterbear cũng như người kế nhiệm nâng cao của nó được gọi là Deuterbear.
Công ty an ninh mạng Trend Micro đang theo dõi tác nhân đe dọa dưới biệt danh Earth Hundun, được biết là đã hoạt động ít nhất từ năm 2007. Nó cũng có tên khác như Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn và Temp.Overboard.
"Waterbear được biết đến với sự phức tạp của nó, vì nó sử dụng một số cơ chế trốn tránh để giảm thiểu cơ hội phát hiện và phân tích", các nhà nghiên cứu Cyris Tseng và Pierre Lee của Trend Micro cho biết trong một phân tích vào tuần trước.
"Vào năm 2022, Earth Hundun đã bắt đầu sử dụng phiên bản mới nhất của Waterbear - còn được gọi là Deuterbear - có một số thay đổi, bao gồm các quy trình quét và giải mã chống bộ nhớ, khiến chúng tôi coi nó là một thực thể phần mềm độc hại khác với Waterbear gốc."
Một trong những công cụ quan trọng trong kho vũ khí nhiều mặt của nó là Waterbear (hay còn gọi là DBGPRINT), đã được đưa vào sử dụng từ năm 2009 và đã được cập nhật liên tục trong những năm qua với các tính năng trốn tránh phòng thủ được cải thiện.
Trojan truy cập từ xa cốt lõi được tìm nạp từ máy chủ lệnh và điều khiển (C2) bằng trình tải xuống, được khởi chạy bằng trình tải, lần lượt, được thực thi thông qua một kỹ thuật đã biết gọi là tải bên DLL.
Phiên bản mới nhất của cấy ghép hỗ trợ gần 50 lệnh, cho phép nó thực hiện một loạt các hoạt động, bao gồm liệt kê và chấm dứt quy trình, hoạt động tệp, quản lý cửa sổ, bắt đầu và thoát khỏi trình bao từ xa, chụp ảnh màn hình và sửa đổi Windows Registry, trong số những người khác.
Cũng được phân phối bằng cách sử dụng một luồng lây nhiễm tương tự kể từ năm 2022 là Deuterbear, trình tải xuống của nó thực hiện một loạt các phương pháp xáo trộn để chống phân tích và sử dụng HTTPS cho giao tiếp C2.
"Kể từ năm 2009, Earth Hundun đã liên tục tiến hóa và tinh chỉnh backdoor Waterbear, cũng như nhiều biến thể và nhánh của nó", các nhà nghiên cứu cho biết.
"Trình tải xuống Deuterbear sử dụng mã hóa HTTPS để bảo vệ lưu lượng mạng và thực hiện các cập nhật khác nhau trong thực thi phần mềm độc hại, chẳng hạn như thay đổi giải mã chức năng, kiểm tra trình gỡ lỗi hoặc hộp cát và sửa đổi các giao thức lưu lượng."