악명 높은 중국 연계 해킹 그룹 BlackTech가 사용하는 신종 원격 접근 트로이 목마(RAT)인 Deuterbear에 대한 상세한 정보가 공개됐다. 2007년부터 활동해온 BlackTech는 다양한 악성코드들을 이용해 목표 시스템에 침투하고 민감한 정보를 추출해왔다.
◇Deuterbear RAT의 향상된 기능
Deuterbear는 BlackTech의 악성코드 무기고에서 Waterbear의 진화된 형태로, 많은 기능이 개선됐다. 트랜드마이크로 연구원에 따르면, Deuterbear는 쉘코드 플러그인 지원, RAT 운영 향상, C&C 통신을 위한 HTTPS 사용 등의 기능을 갖고있다. 이러한 개선 사항은 지속성을 유지하고 탐지를 회피하기 위한 정교한 기능들을 강화한 것이다.
Deuterbear의 주목할 만한 특징은 지속성 설치가 완료된 후 모든 첫 번째 단계 구성 요소가 제거되고, 감염된 시스템에 두 번째 단계만 남는다는 점이다. 이 전략은 악성코드의 흔적을 효과적으로 감추고, 특히 시뮬레이션 환경보다는 실제 피해 시스템에서 위협 연구원들이 분석하기 어렵게 만든다. 더욱이, Deuterbear는 Waterbear의 명령 중 일부만 유지하고 플러그인 기반 아키텍처를 채택하여 기능을 확장하는 보다 간소화된 접근 방식을 사용한다.
BlackTech 그룹이 Deuterbear와 Waterbear릂지속적으로 사용하고 진화시켜 나가는 것은 아태지역에 상당한 위협이 되고 있다. 또한 미국 입장에서는 주요 AI 기업의 정보를 타깃으로 공격하는 중국 해커들의 신종 공격툴에 상당한 긴장을 하고 있는 상황이다.