SpiceRAT og SugarGh0st Malware implementeret af kinesiske hackere i global spionagekampagne, der afslører SneakyChef

En tidligere urapporteret kinesisk-talende trusselsaktør, nu kendt som SneakyChef, er blevet sat i forbindelse med en omfattende spionageoperation rettet mod statslige organer i Asien, Europa, Mellemøsten og Afrika (EMEA). Denne kampagne, der har været i gang siden mindst august 2023, bruger SugarGh0st malware, ifølge forskerne Chetan Raghuprasad og Ashley Shen fra Cisco Talos.

SneakyChef anvender vildledende taktikker ved at bruge scannede dokumenter fra offentlige myndigheder, især dem, der er tilknyttet udenrigsministerier eller ambassader. Cybersikkerhedsfirmaet fremhævede først disse aktiviteter i slutningen af november 2023 og afslørede en angrebskampagne fokuseret på Sydkorea og Usbekistan, der brugte en tilpasset variant af Gh0st RAT, kaldet SugarGh0st.

Yderligere analyse af Proofpoint i maj 2024 afslørede implementeringen af SugarGh0st RAT mod amerikanske organisationer involveret i kunstig intelligens, der spænder over den akademiske verden, den private industri og offentlige sektorer. Denne klynge af aktivitet er blevet sporet under navnet UNK_SweetSpecter.

Navnlig svarer SneakyChef-kampagnen til, hvad Palo Alto Networks Unit 42 har kaldt Operation Diplomatic Spectre. Ifølge enhed 42 har denne aktivitet været i gang siden slutningen af 2022, rettet mod statslige enheder i Mellemøsten, Afrika og Asien. Cisco Talos har siden observeret, at den samme malware ser ud til at fokusere på forskellige regeringsenheder i Angola, Indien, Letland, Saudi-Arabien og Turkmenistan, baseret på lokkedokumenter, der bruges i spyd-phishing-kampagner. Dette indikerer et udvidet omfang af målrettede lande.

Den nye bølge af angreb fortsætter ikke kun med at bruge Windows Shortcut-filer (LNK) indlejret i RAR-arkiver til at levere SugarGh0st, men anvender også selvudpakkende RAR-arkiver (SFX) som en indledende infektionsvektor. Denne metode lancerer et Visual Basic Script (VBS), der udfører malwaren via en loader, mens den viser en lokkefil til offeret.

Angreb på Angola er særligt bemærkelsesværdige for introduktionen af en ny fjernadgangstrojan , kaldet SpiceRAT. Disse angreb bruger lokker fra "Neytralny Turkmenistan", en russisksproget avis i Turkmenistan. SpiceRAT formerer sig gennem to forskellige infektionskæder. Én kæde bruger en LNK-fil i et RAR-arkiv og implementerer malware gennem DLL-sideindlæsningsteknikker. Ved udpakning af RAR-filen tabes en skjult mappe og LNK-fil på ofrets maskine. Åbning af LNK-filen, forklædt som en PDF, kører en indlejret kommando, der starter en ondsindet eksekverbar fil fra den skjulte mappe, viser et lokkedokument og sideindlæser en ondsindet DLL for at indlæse SpiceRAT.

Den anden variant involverer en HTML-applikation (HTA), der dropper et Windows batch-script og en Base64-kodet downloader binær. Batch-scriptet planlægger downloaderens binære til at køre hvert femte minut og en anden eksekverbar, "ChromeDriver.exe," hvert 10. minut, som sideindlæser en slyngel DLL, der indlæser SpiceRAT. Hver komponent - ChromeDriver.exe, DLL'en og RAT-nyttelasten - udtrækkes fra et ZIP-arkiv hentet fra en ekstern server.

SpiceRAT anvender DLL-sideindlæsningsteknikker til at starte en DLL-indlæser, der kontrollerer kørende processer for debugging, før dets hovedmodul udføres fra hukommelsen. Med kapacitet til at downloade og køre eksekverbare binære filer og vilkårlige kommandoer, udvider SpiceRAT angrebsfladen på ofrets netværk betydeligt, hvilket baner vejen for yderligere indtrængen.

Cisco Talos understreger den øgede risiko, som disse sofistikerede angrebsmetoder udgør, og understreger vigtigheden af årvågne cybersikkerhedsforanstaltninger for at beskytte mod sådanne avancerede trusler.