Waterbear и Deuterbear – вредоносный дуэт, плотно нацеленный на страны Азии

Недавно обнаруженная кибератака затронула технологический, научный и государственный сектора Азиатско-Тихоокеанского региона. За атакой стоит хакерская группа BlackTech, известная использованием сложных методов маскировки своих действий.

В ходе атак были задействованы обновлённые версии вредоносного ПО, включая модульный бэкдор Waterbear и его усовершенствованную версию Deuterbear. Исследователи из Trend Micro отмечают, что Waterbear довольно сложно обнаружить и анализировать из-за многочисленных механизмов уклонения. В то время как Deuterbear по сравнению с предшественником, добавил функции противодействия сканированию памяти и шифрования данных, что делает программу ещё опаснее оригинала.

Группа BlackTech также известна под именами Earth Hundun, Circuit Panda и другими. С 2007 года она активно применяет кибератаки против целей в разных странах и постоянно усовершенствует свои методы. В сентябре прошлого года спецслужбы Японии и США связали действия этой группы с Китаем, указав на способность хакеров модифицировать прошивку маршрутизаторов и использовать доверие между доменами для доступа к корпоративным сетям.

Деятельность BlackTech остаётся скрытной благодаря использованию собственного ПО и LotL -тактикам, включая отключение протоколирования на маршрутизаторах. Основной инструмент BlackTech, вредонос Waterbear, используется группой ещё с 2009 года и регулярно обновляется для улучшения скрытности. Deuterbear, впервые введённый в 2022 году, использует методы обфускации и HTTPS для связи с сервером управления, и также регулярно обновляется.

Эти многогранные вредоносные программы могут выполнять около 50 команд, включая управление процессами и файлами, изменение реестра Windows и сбор скриншотов. Продолжающееся с 2009 года развитие Waterbear и его модификаций свидетельствует о постоянном усовершенствовании методов кибератаки группой BlackTech.

Столь упорное развитие передовых тактик кибератак подчёркивает растущую необходимость укрепления мер кибербезопасности для защиты важных данных и систем от злонамеренных хакерских групп, использующих в своей деятельности всё более изощренные вредоносные программы.