中国黑客组织 BlackTech的水熊虫后门攻击

关键要点

• 中国黑客组织 BlackTech 利用更新版的水熊虫后门（名为 Deuterbear）对亚太地区的政府、研究与技术机构进行攻击。
• BlackTech 持续改进水熊虫后门，Deuterbear 拥有更强的反分析能力和 HTTPS 加密。
• 这一发现发布在美国和日本联合网络安全与情报咨询警告 BlackTech 的攻击工具库之后。

水熊虫后门及其更新版本 Deuterbear 已被与中国相关的威胁组织 （亦称为 Earth Hundun、MangaTaurus、Circuit Panda、Temp.Overboard、Palmerwom、Red Djinn 和 HUAPI）广泛用于对亚太地区政府、研究及技术组织发起攻击，。

根据 Trend Micro 的报告，BlackTech 对水熊虫自定义后门进行了持续改进，更新后该后门几乎支持 50 个命令，包括进程终止、窗口管理及 Windows 注册表更改等功能。尽管 Deuterbear 源于水熊虫，但由于其具有下载器的反分析能力及 HTTPS 加密，已被视为独立的恶意软件实体。

“Deuterbear 下载器采用 HTTPS 加密以保护网络流量，并在恶意软件执行中实施了各种更新，例如更改函数解密、检查调试器或沙箱，以及修改流量协议，”研究人员表示。

这些发现是在美国和日本联合发布网络安全与情报咨询，警告 BlackTech 具有广泛攻击能力的几个月后出炉的。