SpiceRAT και SugarGh0st κακόβουλο λογισμικό που αναπτύχθηκε από Κινέζους χάκερ σε παγκόσμια εκστρατεία κατασκοπείας που αποκαλύπτει τον SneakyChef

Ένας προηγουμένως μη αναφερόμενος κινεζόφωνος παράγοντας απειλών, τώρα γνωστός ως SneakyChef, έχει συνδεθεί με μια εκτεταμένη επιχείρηση κατασκοπείας που στοχεύει κυβερνητικούς φορείς σε όλη την Ασία, την Ευρώπη, τη Μέση Ανατολή και την Αφρική (EMEA). Αυτή η καμπάνια, που βρίσκεται σε εξέλιξη τουλάχιστον από τον Αύγουστο του 2023, χρησιμοποιεί το κακόβουλο λογισμικό SugarGh0st, σύμφωνα με τους ερευνητές Chetan Raghuprasad και Ashley Shen από τη Cisco Talos.

Το SneakyChef χρησιμοποιεί παραπλανητικές τακτικές χρησιμοποιώντας σαρωμένα έγγραφα από κυβερνητικές υπηρεσίες, ιδιαίτερα εκείνες που σχετίζονται με Υπουργεία Εξωτερικών ή πρεσβείες. Η εταιρεία κυβερνοασφάλειας ανέδειξε για πρώτη φορά αυτές τις δραστηριότητες στα τέλη Νοεμβρίου 2023, αποκαλύπτοντας μια εκστρατεία επίθεσης επικεντρωμένη στη Νότια Κορέα και το Ουζμπεκιστάν που χρησιμοποίησε μια προσαρμοσμένη παραλλαγή του Gh0st RAT, που ονομάζεται SugarGh0st.

Περαιτέρω ανάλυση από την Proofpoint τον Μάιο του 2024 αποκάλυψε την ανάπτυξη του SugarGh0st RAT εναντίον αμερικανικών οργανισμών που εμπλέκονται στην τεχνητή νοημοσύνη, που καλύπτουν τον ακαδημαϊκό χώρο, την ιδιωτική βιομηχανία και τους κυβερνητικούς τομείς. Αυτό το σύμπλεγμα δραστηριοτήτων παρακολουθήθηκε με το όνομα UNK_SweetSpecter.

Συγκεκριμένα, η καμπάνια SneakyChef αντιστοιχεί σε αυτό που η Μονάδα 42 της Palo Alto Networks έχει ονομάσει Operation Diplomatic Spectre. Σύμφωνα με την Ενότητα 42, αυτή η δραστηριότητα βρίσκεται σε εξέλιξη από τα τέλη του 2022, με στόχο κυβερνητικές οντότητες στη Μέση Ανατολή, την Αφρική και την Ασία. Η Cisco Talos έκτοτε παρατήρησε ότι το ίδιο κακόβουλο λογισμικό φαίνεται να εστιάζει σε διάφορες κυβερνητικές οντότητες στην Αγκόλα, την Ινδία, τη Λετονία, τη Σαουδική Αραβία και το Τουρκμενιστάν, με βάση τα έγγραφα που χρησιμοποιούνται σε εκστρατείες ψαρέματος με δόρυ. Αυτό υποδηλώνει ένα διευρυνόμενο εύρος στοχευόμενων χωρών.

Το νέο κύμα επιθέσεων όχι μόνο συνεχίζει να χρησιμοποιεί αρχεία συντομεύσεων των Windows (LNK) που είναι ενσωματωμένα σε αρχεία RAR για την παράδοση του SugarGh0st, αλλά χρησιμοποιεί επίσης αρχεία RAR που εξάγονται μόνοι τους (SFX) ως αρχικό φορέα μόλυνσης. Αυτή η μέθοδος εκκινεί μια δέσμη ενεργειών της Visual Basic (VBS) που εκτελεί το κακόβουλο λογισμικό μέσω ενός φορτωτή ενώ εμφανίζει ένα αρχείο δόλωμα στο θύμα.

Οι επιθέσεις στην Αγκόλα είναι ιδιαίτερα αξιοσημείωτες για την εισαγωγή ενός νέου trojan απομακρυσμένης πρόσβασης , που ονομάζεται SpiceRAT. Αυτές οι επιθέσεις χρησιμοποιούν θέλγητρα από τη «Neytralny Turkmenistan», μια ρωσόφωνη εφημερίδα στο Τουρκμενιστάν. Το SpiceRAT διαδίδεται μέσω δύο διαφορετικών αλυσίδων μόλυνσης. Μια αλυσίδα χρησιμοποιεί ένα αρχείο LNK μέσα σε ένα αρχείο RAR, αναπτύσσοντας το κακόβουλο λογισμικό μέσω τεχνικών πλευρικής φόρτωσης DLL. Κατά την εξαγωγή του αρχείου RAR, ένας κρυφός φάκελος και ένα αρχείο LNK απορρίπτονται στον υπολογιστή του θύματος. Ανοίγοντας το αρχείο LNK, μεταμφιεσμένο σε PDF, εκτελείται μια ενσωματωμένη εντολή που εκκινεί ένα κακόβουλο εκτελέσιμο αρχείο από τον κρυφό φάκελο, εμφανίζει ένα έγγραφο δόλωμα και φορτώνει ένα κακόβουλο DLL για να φορτώσει το SpiceRAT.

Η δεύτερη παραλλαγή περιλαμβάνει μια εφαρμογή HTML (HTA) που απορρίπτει μια δέσμη ενεργειών των Windows και ένα δυαδικό πρόγραμμα λήψης με κωδικοποίηση Base64. Το σενάριο δέσμης προγραμματίζει το δυαδικό αρχείο λήψης να εκτελείται κάθε πέντε λεπτά και ένα άλλο εκτελέσιμο αρχείο, το "ChromeDriver.exe", κάθε 10 λεπτά, το οποίο φορτώνει ένα αδίστακτο DLL που φορτώνει το SpiceRAT. Κάθε στοιχείο—ChromeDriver.exe, το DLL και το ωφέλιμο φορτίο RAT—εξάγεται από ένα αρχείο ZIP που ανακτάται από έναν απομακρυσμένο διακομιστή.

Το SpiceRAT χρησιμοποιεί τεχνικές πλευρικής φόρτωσης DLL για την εκκίνηση ενός φορτωτή DLL που ελέγχει τις διεργασίες που εκτελούνται για εντοπισμό σφαλμάτων πριν εκτελέσει την κύρια μονάδα του από τη μνήμη. Με δυνατότητες λήψης και εκτέλεσης εκτελέσιμων δυαδικών αρχείων και αυθαίρετων εντολών, το SpiceRAT διευρύνει σημαντικά την επιφάνεια επίθεσης στο δίκτυο του θύματος, ανοίγοντας το δρόμο για περαιτέρω εισβολές.

Η Cisco Talos τονίζει τον αυξημένο κίνδυνο που ενέχουν αυτές οι εξελιγμένες μέθοδοι επίθεσης, υπογραμμίζοντας τη σημασία των μέτρων επαγρύπνησης στον κυβερνοχώρο για την προστασία από τέτοιες προηγμένες απειλές.