„SpiceRAT“ ir „SugarGh0st“ kenkėjiška programa, kurią Kinijos įsilaužėliai įdiegė pasaulinės šnipinėjimo kampanijos metu, atskleidžiant „SneakyChef“

Anksčiau nepaskelbtas kiniškai kalbantis grėsmės veikėjas, dabar žinomas kaip SneakyChef, buvo susijęs su plačia šnipinėjimo operacija, nukreipta į Azijos, Europos, Vidurio Rytų ir Afrikos (EMEA) valdžios institucijas. Pasak mokslininkų Chetan Raghuprasad ir Ashley Shen iš Cisco Talos, ši kampanija, vykdoma mažiausiai nuo 2023 m. rugpjūčio mėn., naudoja kenkėjišką programą SugarGh0st.

„SneakyChef“ taiko apgaulingą taktiką naudodama nuskaitytus dokumentus iš vyriausybinių agentūrų, ypač susijusių su užsienio reikalų ministerijomis ar ambasadomis. Kibernetinio saugumo įmonė pirmą kartą pabrėžė šią veiklą 2023 m. lapkričio pabaigoje, atskleisdama atakų kampaniją, orientuotą į Pietų Korėją ir Uzbekistaną, kurioje buvo naudojamas pritaikytas Gh0st RAT variantas, pavadintas SugarGh0st.

2024 m. gegužės mėn. „Proofpoint“ atlikta tolesnė analizė atskleidė „SugarGh0st RAT“ panaudojimą prieš JAV organizacijas, susijusias su dirbtiniu intelektu, apimančiu akademinę bendruomenę, privačią pramonę ir vyriausybės sektorius. Ši veiklos grupė buvo stebima pavadinimu UNK_SweetSpecter.

Pažymėtina, kad „SneakyChef“ kampanija atitinka tai, ką „Palo Alto Networks Unit 42“ pavadino „Operation Diplomatic Spectre“. 42 skyriaus duomenimis, ši veikla vykdoma nuo 2022 m. pabaigos, nukreipta į vyriausybinius subjektus Artimuosiuose Rytuose, Afrikoje ir Azijoje. Nuo to laiko „Cisco Talos“ pastebėjo, kad ta pati kenkėjiška programa, remdamasi viliojimo dokumentais, naudojamais sukčiavimo spygliuočių kampanijomis, daugiausia dėmesio skiria įvairiems vyriausybės subjektams Angoloje, Indijoje, Latvijoje, Saudo Arabijoje ir Turkmėnistane. Tai rodo besiplečiančią tikslinių šalių sritį.

Naujoji atakų banga ne tik toliau naudoja „Windows Shortcut“ (LNK) failus, įterptus į RAR archyvus, kad pristatytų „SugarGh0st“, bet ir kaip pradinį infekcijos vektorių naudojami savaiminio išskleidimo RAR archyvai (SFX). Šis metodas paleidžia „Visual Basic Script“ (VBS), kuris vykdo kenkėjišką programą per įkroviklį, o aukai rodo apgaulės failą.

Išpuoliai prieš Angolą ypač pastebimi dėl naujo nuotolinės prieigos Trojos arklys , pavadinto SpiceRAT. Šiose atakose naudojami masalai iš Turkmėnistano rusų kalba leidžiamo laikraščio Neytralny Turkmenistan. SpiceRAT plinta per dvi skirtingas infekcijos grandines. Viena grandinė naudoja LNK failą RAR archyve, diegia kenkėjišką programą naudodama DLL šoninio įkėlimo metodus. Išskleidus RAR failą, nukentėjusiojo kompiuteryje nuleidžiamas paslėptas aplankas ir LNK failas. Atidarius LNK failą, paslėptą kaip PDF, paleidžiama įterptoji komanda, kuri paleidžia kenkėjišką vykdomąjį failą iš paslėpto aplanko, parodo apgaulės dokumentą ir įkelia kenkėjišką DLL, kad įkeltų SpiceRAT.

Antrasis variantas apima HTML taikomąją programą (HTA), kuri numeta „Windows“ paketinį scenarijų ir „Base64“ koduotą atsisiuntimo programos dvejetainį failą. Paketinis scenarijus suplanuoja, kad atsisiuntimo programos dvejetainis failas būtų paleistas kas penkias minutes, o kitas vykdomasis failas „ChromeDriver.exe“ – kas 10 minučių, kuris įkelia nesąžiningą DLL, įkeliantį SpiceRAT. Kiekvienas komponentas – ChromeDriver.exe, DLL ir RAT naudingoji apkrova – išgaunamas iš ZIP archyvo, gauto iš nuotolinio serverio.

SpiceRAT naudoja DLL šoninio įkėlimo metodus, kad inicijuotų DLL įkroviklį, kuris patikrina veikiančius procesus, ar nėra derinimo, prieš paleisdamas pagrindinį modulį iš atminties. Su galimybe atsisiųsti ir paleisti vykdomuosius dvejetainius failus ir savavališkas komandas, SpiceRAT žymiai išplečia atakos paviršių aukos tinkle, atverdamas kelią tolesniems įsilaužimams.

„Cisco Talos“ pabrėžia padidėjusią šių sudėtingų atakų metodų keliamą riziką, pabrėždama budrių kibernetinio saugumo priemonių svarbą siekiant apsisaugoti nuo tokių pažangių grėsmių.