SpiceRAT og SugarGh0st Malware distribuert av kinesiske hackere i global spionasjekampanje som avdekker SneakyChef

En tidligere urapportert kinesisktalende trusselaktør, nå kjent som SneakyChef, har blitt koblet til en omfattende spionasjeaksjon rettet mot statlige organer over hele Asia, Europa, Midtøsten og Afrika (EMEA). Denne kampanjen, som har pågått siden minst august 2023, bruker skadelig programvare SugarGh0st, ifølge forskerne Chetan Raghuprasad og Ashley Shen fra Cisco Talos.

SneakyChef bruker villedende taktikker ved å bruke skannede dokumenter fra offentlige etater, spesielt de som er knyttet til utenriksdepartementer eller ambassader. Nettsikkerhetsselskapet fremhevet først disse aktivitetene i slutten av november 2023, og avslørte en angrepskampanje fokusert på Sør-Korea og Usbekistan som brukte en tilpasset variant av Gh0st RAT, kalt SugarGh0st.

Ytterligere analyse av Proofpoint i mai 2024 avdekket utplasseringen av SugarGh0st RAT mot amerikanske organisasjoner involvert i kunstig intelligens, som spenner over akademia, privat industri og offentlige sektorer. Denne aktivitetsklyngen har blitt sporet under navnet UNK_SweetSpecter.

Spesielt tilsvarer SneakyChef-kampanjen det Palo Alto Networks Unit 42 har kalt Operation Diplomatic Spectre. I følge enhet 42 har denne aktiviteten pågått siden slutten av 2022, rettet mot statlige enheter i Midtøsten, Afrika og Asia. Cisco Talos har siden observert at den samme skadevaren ser ut til å fokusere på ulike offentlige enheter i Angola, India, Latvia, Saudi-Arabia og Turkmenistan, basert på lokkedokumenter brukt i spyd-phishing-kampanjer. Dette indikerer et økende omfang av målrettede land.

Den nye bølgen av angrep fortsetter ikke bare å bruke Windows Shortcut (LNK)-filer innebygd i RAR-arkiver for å levere SugarGh0st, men bruker også selvutpakkende RAR-arkiver (SFX) som en første infeksjonsvektor. Denne metoden lanserer et Visual Basic Script (VBS) som kjører skadevaren via en laster mens den viser en lokkefil til offeret.

Angrep på Angola er spesielt bemerkelsesverdige for introduksjonen av en ny fjerntilgangstrojaner , kalt SpiceRAT. Disse angrepene bruker lokker fra «Neytralny Turkmenistan», en russiskspråklig avis i Turkmenistan. SpiceRAT forplanter seg gjennom to forskjellige infeksjonskjeder. En kjede bruker en LNK-fil i et RAR-arkiv, og distribuerer skadelig programvare gjennom DLL-sidelastingsteknikker. Ved utpakking av RAR-filen slippes en skjult mappe og LNK-fil på offerets maskin. Åpning av LNK-filen, forkledd som en PDF, kjører en innebygd kommando som starter en ondsinnet kjørbar fil fra den skjulte mappen, viser et lokkedokument og sidelaster en ondsinnet DLL for å laste SpiceRAT.

Den andre varianten involverer en HTML-applikasjon (HTA) som slipper et Windows batch-skript og en Base64-kodet nedlastingsbinær. Batchskriptet planlegger at nedlasterens binære program skal kjøres hvert femte minutt og en annen kjørbar, "ChromeDriver.exe," hvert 10. minutt, som sidelaster en falsk DLL som laster SpiceRAT. Hver komponent – ChromeDriver.exe, DLL-en og RAT-nyttelasten – trekkes ut fra et ZIP-arkiv hentet fra en ekstern server.

SpiceRAT bruker DLL-sidelastingsteknikker for å starte en DLL-laster som sjekker kjørende prosesser for feilsøking før hovedmodulen kjøres fra minnet. Med muligheter til å laste ned og kjøre kjørbare binærfiler og vilkårlige kommandoer, utvider SpiceRAT angrepsoverflaten på offerets nettverk betydelig, og baner vei for ytterligere inntrenging.

Cisco Talos understreker den økte risikoen som disse sofistikerte angrepsmetodene utgjør, og understreker viktigheten av årvåkne nettsikkerhetstiltak for å beskytte mot slike avanserte trusler.