A SpiceRAT és a SugarGh0st rosszindulatú programokat kínai hackerek telepítették a SneakyChef feltárását célzó globális kémkedési kampányban

Egy korábban be nem jelentett, kínaiul beszélő fenyegetőzőt, akit ma SneakyChef néven ismernek, egy kiterjedt kémművelethez kapcsoltak, amely Ázsia, Európa, a Közel-Kelet és Afrika (EMEA) kormányzati szerveit célozta meg. Chetan Raghuprasad és Ashley Shen, a Cisco Talos kutatói szerint ez a kampány, amely legalább 2023 augusztusa óta tart, a SugarGh0st malware-t használja.

A SneakyChef megtévesztő taktikát alkalmaz azáltal, hogy kormányzati szervektől származó szkennelt dokumentumokat használ, különösen a külügyminisztériumokhoz vagy nagykövetségekhez kapcsolódó dokumentumokat. A kiberbiztonsági vállalat először 2023 novemberének végén emelte ki ezeket a tevékenységeket, felfedve egy Dél-Koreára és Üzbegisztánra összpontosító támadási kampányt, amely a Gh0st RAT egy egyedi változatát, a SugarGh0st nevet használta.

A Proofpoint 2024 májusában végzett további elemzése feltárta a SugarGh0st RAT alkalmazását a mesterséges intelligenciával foglalkozó egyesült államokbeli szervezetek ellen, amelyek az akadémiára, a magánipart és a kormányzati szektorra is kiterjednek. Ezt a tevékenységcsoportot UNK_SweetSpecter néven követték nyomon.

Nevezetesen, a SneakyChef kampány megfelel annak, amit a Palo Alto Networks 42. egysége Operation Diplomatic Spectre-nek nevezett. A 42-es egység szerint ez a tevékenység 2022 vége óta folyik, és a közel-keleti, afrikai és ázsiai kormányzati szerveket célozza meg. A Cisco Talos azóta megfigyelte, hogy a jelek szerint ugyanaz a rosszindulatú program Angola, India, Lettország, Szaúd-Arábia és Türkmenisztán különböző kormányzati egységeire összpontosít, a lándzsás adathalász kampányokban használt csalogató dokumentumok alapján. Ez a megcélzott országok bővülését jelzi.

A támadások új hulláma nem csak továbbra is a RAR-archívumba ágyazott Windows Shortcut (LNK) fájlokat használja a SugarGh0st továbbítására, hanem önkicsomagoló RAR archívumokat (SFX) is alkalmaz kezdeti fertőzési vektorként. Ez a módszer elindít egy Visual Basic Scriptet (VBS), amely egy betöltőn keresztül hajtja végre a kártevőt, miközben csalifájlt jelenít meg az áldozatnak.

Az Angola elleni támadások különösen figyelemre méltóak egy új távoli hozzáférésű trójai , a SpiceRAT névre keresztelve. Ezek a támadások a "Neytralny Turkmenistan" nevű orosz nyelvű türkmenisztáni újság csalit használják. A SpiceRAT két különböző fertőzési láncon keresztül terjed. Az egyik lánc egy LNK-fájlt használ egy RAR-archívumban, és a kártevőt DLL oldalbetöltési technikákkal telepíti. A RAR fájl kibontásakor egy rejtett mappa és egy LNK fájl kerül az áldozat gépére. A PDF-nek álcázott LNK-fájl megnyitása egy beágyazott parancsot futtat, amely rosszindulatú végrehajtható fájlt indít el a rejtett mappából, megjelenít egy csalidokumentumot, és oldalba tölt egy rosszindulatú DLL-t a SpiceRAT betöltéséhez.

A második változat egy HTML-alkalmazást (HTA) tartalmaz, amely eldob egy Windows kötegelt szkriptet és egy Base64-kódolású letöltő binárist. A kötegelt parancsfájl ütemezi a letöltő bináris fájljának ötpercenkénti futását, és egy másik végrehajtható fájlt, a „ChromeDriver.exe”-t 10 percenként, amely oldalra tölti be a SpiceRAT-ot betöltő, rosszindulatú DLL-t. Minden egyes összetevő – a ChromeDriver.exe, a DLL és a RAT hasznos adattartalma – egy távoli szerverről letöltött ZIP-archívumból kinyerhető.

A SpiceRAT DLL oldalbetöltési technikákat alkalmaz, hogy elindítson egy DLL-betöltőt, amely ellenőrzi a futó folyamatok hibakeresését, mielőtt végrehajtaná fő modulját a memóriából. A végrehajtható bináris fájlok és tetszőleges parancsok letöltésének és futtatásának lehetőségével a SpiceRAT jelentősen kiszélesíti a támadási felületet az áldozat hálózatán, megnyitva az utat a további behatolások előtt.

A Cisco Talos hangsúlyozza az ilyen kifinomult támadási módszerek által jelentett megnövekedett kockázatot, és hangsúlyozza az éber kiberbiztonsági intézkedések fontosságát az ilyen fejlett fenyegetések elleni védelem érdekében.