Chinesische Hacker setzen SpiceRAT- und SugarGh0st-Malware in globaler Spionagekampagne ein und entlarven SneakyChef

Ein bisher nicht gemeldeter chinesischsprachiger Bedrohungsakteur, der jetzt als SneakyChef bekannt ist, wurde mit einer umfangreichen Spionageoperation in Verbindung gebracht, die sich gegen Regierungsbehörden in Asien, Europa, dem Nahen Osten und Afrika (EMEA) richtet. Diese Kampagne, die seit mindestens August 2023 läuft, nutzt die SugarGh0st-Malware, so die Forscher Chetan Raghuprasad und Ashley Shen von Cisco Talos.

SneakyChef verwendet betrügerische Taktiken, indem es gescannte Dokumente von Regierungsbehörden verwendet, insbesondere von solchen, die mit Außenministerien oder Botschaften in Verbindung stehen. Das Cybersicherheitsunternehmen machte diese Aktivitäten erstmals Ende November 2023 deutlich und enthüllte eine Angriffskampagne mit Fokus auf Südkorea und Usbekistan, bei der eine benutzerdefinierte Variante von Gh0st RAT namens SugarGh0st verwendet wurde.

Weitere Analysen von Proofpoint im Mai 2024 deckten den Einsatz von SugarGh0st RAT gegen US-Organisationen auf, die im Bereich künstliche Intelligenz tätig sind, und zwar im akademischen, privaten und staatlichen Sektor. Dieser Aktivitätscluster wurde unter dem Namen UNK_SweetSpecter verfolgt.

Bemerkenswerterweise entspricht die SneakyChef-Kampagne dem, was die Unit 42 von Palo Alto Networks als Operation Diplomatic Specter bezeichnet hat. Laut Unit 42 läuft diese Aktivität seit Ende 2022 und zielt auf Regierungsstellen im Nahen Osten, Afrika und Asien ab. Cisco Talos hat seitdem beobachtet, dass dieselbe Malware auf verschiedene Regierungsstellen in Angola, Indien, Lettland, Saudi-Arabien und Turkmenistan abzielt, basierend auf Lockdokumenten, die in Spear-Phishing-Kampagnen verwendet werden. Dies deutet auf einen wachsenden Umfang der Zielländer hin.

Die neue Angriffswelle nutzt nicht nur weiterhin in RAR-Archiven eingebettete Windows Shortcut-Dateien (LNK), um SugarGh0st zu verbreiten, sondern verwendet auch selbstextrahierende RAR-Archive (SFX) als ersten Infektionsvektor. Diese Methode startet ein Visual Basic Script (VBS), das die Malware über einen Loader ausführt und dem Opfer dabei eine Lockdatei anzeigt.

Besonders bemerkenswert sind die Angriffe auf Angola, bei denen ein neuer Remote-Access-Trojaner namens SpiceRAT eingeführt wurde . Bei diesen Angriffen werden Köder von „Neytralny Turkmenistan“ verwendet, einer russischsprachigen Zeitung in Turkmenistan. SpiceRAT verbreitet sich über zwei verschiedene Infektionsketten. Eine Kette verwendet eine LNK-Datei in einem RAR-Archiv und verteilt die Malware über DLL-Sideloading-Techniken. Beim Extrahieren der RAR-Datei werden ein versteckter Ordner und eine LNK-Datei auf dem Computer des Opfers abgelegt. Beim Öffnen der als PDF getarnten LNK-Datei wird ein eingebetteter Befehl ausgeführt, der eine bösartige ausführbare Datei aus dem versteckten Ordner startet, ein Lockvogeldokument anzeigt und eine bösartige DLL sideloadet, um SpiceRAT zu laden.

Die zweite Variante umfasst eine HTML-Anwendung (HTA), die ein Windows-Batch-Skript und eine Base64-codierte Downloader-Binärdatei ablegt. Das Batch-Skript plant die Ausführung der Downloader-Binärdatei alle fünf Minuten und einer weiteren ausführbaren Datei, „ChromeDriver.exe“, alle zehn Minuten, die eine betrügerische DLL nachlädt, die SpiceRAT lädt. Jede Komponente – ChromeDriver.exe, die DLL und die RAT-Nutzlast – wird aus einem ZIP-Archiv extrahiert, das von einem Remote-Server abgerufen wird.

SpiceRAT verwendet DLL-Sideloading-Techniken, um einen DLL-Loader zu initiieren, der laufende Prozesse auf Debugging überprüft, bevor er sein Hauptmodul aus dem Speicher ausführt. Mit der Möglichkeit, ausführbare Binärdateien und beliebige Befehle herunterzuladen und auszuführen, erweitert SpiceRAT die Angriffsfläche im Netzwerk des Opfers erheblich und ebnet so den Weg für weitere Eindringversuche.

Cisco Talos weist auf das erhöhte Risiko hin, das diese ausgeklügelten Angriffsmethoden darstellen, und unterstreicht die Bedeutung wachsamer Cybersicherheitsmaßnahmen zum Schutz vor derartigen hochentwickelten Bedrohungen.