Il malware SpiceRAT e SugarGh0st distribuito dagli hacker cinesi nella campagna di spionaggio globale che ha scoperto SneakyChef
Un criminale di lingua cinese precedentemente non segnalato, ora noto come SneakyChef, è stato collegato a una vasta operazione di spionaggio contro enti governativi in Asia, Europa, Medio Oriente e Africa (EMEA). Questa campagna, in corso almeno dall'agosto 2023, utilizza il malware SugarGh0st, secondo i ricercatori Chetan Raghuprasad e Ashley Shen di Cisco Talos.
SneakyChef impiega tattiche ingannevoli utilizzando documenti scansionati di agenzie governative, in particolare quelle associate ai Ministeri degli Affari Esteri o alle ambasciate. La società di sicurezza informatica ha evidenziato per la prima volta queste attività alla fine di novembre 2023, rivelando una campagna di attacco focalizzata sulla Corea del Sud e sull’Uzbekistan che utilizzava una variante personalizzata di Gh0st RAT, denominata SugarGh0st.
Ulteriori analisi di Proofpoint nel maggio 2024 hanno scoperto l'implementazione di SugarGh0st RAT contro le organizzazioni statunitensi coinvolte nell'intelligenza artificiale, che abbracciano il mondo accademico, l'industria privata e i settori governativi. Questo cluster di attività è stato monitorato con il nome UNK_SweetSpecter.
In particolare, la campagna SneakyChef corrisponde a ciò che l'Unità 42 di Palo Alto Networks ha definito Operazione Diplomatic Spectre. Secondo l’Unità 42, questa attività è in corso dalla fine del 2022, prendendo di mira enti governativi in Medio Oriente, Africa e Asia. Da allora Cisco Talos ha osservato che lo stesso malware sembra concentrarsi su vari enti governativi in Angola, India, Lettonia, Arabia Saudita e Turkmenistan, sulla base di documenti di esca utilizzati nelle campagne di spear-phishing. Ciò indica un ambito in espansione dei paesi target.
La nuova ondata di attacchi non solo continua a utilizzare file Windows Shortcut (LNK) incorporati negli archivi RAR per fornire SugarGh0st, ma impiega anche archivi RAR autoestraenti (SFX) come vettore iniziale di infezione. Questo metodo avvia uno script Visual Basic (VBS) che esegue il malware tramite un caricatore mentre mostra un file esca alla vittima.
Gli attacchi contro l'Angola sono particolarmente degni di nota per l'introduzione di un nuovo trojan di accesso remoto , soprannominato SpiceRAT. Questi attacchi utilizzano l'esca di "Neytralny Turkmenistan", un giornale in lingua russa del Turkmenistan. SpiceRAT si propaga attraverso due diverse catene di infezione. Una catena utilizza un file LNK all'interno di un archivio RAR, distribuendo il malware tramite tecniche di caricamento laterale DLL. Dopo aver estratto il file RAR, una cartella nascosta e un file LNK vengono rilasciati sul computer della vittima. L'apertura del file LNK, mascherato da PDF, esegue un comando incorporato che avvia un eseguibile dannoso dalla cartella nascosta, visualizza un documento esca e carica lateralmente una DLL dannosa per caricare SpiceRAT.
La seconda variante prevede un'applicazione HTML (HTA) che rilascia uno script batch di Windows e un file binario di download con codifica Base64. Lo script batch pianifica l'esecuzione del file binario del downloader ogni cinque minuti e di un altro eseguibile, "ChromeDriver.exe", ogni 10 minuti, che esegue il sideload di una DLL non autorizzata che carica SpiceRAT. Ogni componente, ChromeDriver.exe, DLL e payload RAT, viene estratto da un archivio ZIP recuperato da un server remoto.
SpiceRAT utilizza tecniche di caricamento laterale DLL per avviare un caricatore DLL che controlla i processi in esecuzione per il debug prima di eseguire il suo modulo principale dalla memoria. Grazie alla capacità di scaricare ed eseguire file binari eseguibili e comandi arbitrari, SpiceRAT amplia significativamente la superficie di attacco sulla rete della vittima, aprendo la strada a ulteriori intrusioni.
Cisco Talos sottolinea l’aumento del rischio posto da questi sofisticati metodi di attacco, sottolineando l’importanza di misure di sicurezza informatica vigili per proteggersi da minacce così avanzate.
