SpiceRAT en SugarGh0st Malware ingezet door Chinese hackers in wereldwijde spionagecampagne die SneakyChef blootlegt
Een voorheen niet gerapporteerde Chineessprekende dreigingsacteur, nu bekend als SneakyChef, is in verband gebracht met een uitgebreide spionageoperatie gericht op overheidsinstanties in Azië, Europa, het Midden-Oosten en Afrika (EMEA). Deze campagne, die in ieder geval sinds augustus 2023 loopt, maakt gebruik van de SugarGh0st-malware, aldus onderzoekers Chetan Raghuprasad en Ashley Shen van Cisco Talos.
SneakyChef maakt gebruik van misleidende tactieken door gebruik te maken van gescande documenten van overheidsinstanties, met name die welke verband houden met ministeries van Buitenlandse Zaken of ambassades. Het cyberbeveiligingsbedrijf bracht deze activiteiten eind november 2023 voor het eerst onder de aandacht en onthulde een aanvalscampagne gericht op Zuid-Korea en Oezbekistan, waarbij gebruik werd gemaakt van een aangepaste variant van Gh0st RAT, genaamd SugarGh0st.
Verdere analyse door Proofpoint in mei 2024 bracht de inzet van SugarGh0st RAT aan het licht tegen Amerikaanse organisaties die betrokken zijn bij kunstmatige intelligentie, verspreid over de academische wereld, de particuliere industrie en de overheidssector. Dit cluster van activiteiten is gevolgd onder de naam UNK_SweetSpecter.
Met name komt de SneakyChef-campagne overeen met wat Palo Alto Networks Unit 42 Operatie Diplomatic Spectre heeft genoemd. Volgens Unit 42 is deze activiteit al sinds eind 2022 aan de gang en zijn ze gericht op overheidsinstanties in het Midden-Oosten, Afrika en Azië. Cisco Talos heeft sindsdien opgemerkt dat dezelfde malware zich lijkt te richten op verschillende overheidsinstanties in Angola, India, Letland, Saoedi-Arabië en Turkmenistan, op basis van lokdocumenten die worden gebruikt in spearphishing-campagnes. Dit duidt op een groeiende reikwijdte van de beoogde landen.
De nieuwe aanvalsgolf blijft niet alleen gebruikmaken van Windows Shortcut-bestanden (LNK) die zijn ingebed in RAR-archieven om SugarGh0st te leveren, maar maakt ook gebruik van zelfuitpakkende RAR-archieven (SFX) als initiële infectievector. Deze methode lanceert een Visual Basic Script (VBS) dat de malware via een lader uitvoert terwijl een lokbestand aan het slachtoffer wordt weergegeven.
Aanvallen op Angola zijn vooral opmerkelijk vanwege de introductie van een nieuwe trojan voor externe toegang , genaamd SpiceRAT. Bij deze aanvallen wordt gebruik gemaakt van kunstaas van "Neytralny Turkmenistan", een Russischtalige krant in Turkmenistan. SpiceRAT plant zich voort via twee verschillende infectieketens. Eén keten gebruikt een LNK-bestand binnen een RAR-archief en zet de malware in via DLL-side-loading-technieken. Bij het uitpakken van het RAR-bestand worden een verborgen map en een LNK-bestand op de computer van het slachtoffer geplaatst. Door het LNK-bestand te openen, vermomd als een pdf, wordt een ingebedde opdracht uitgevoerd die een kwaadaardig uitvoerbaar bestand vanuit de verborgen map start, een lokdocument weergeeft en een kwaadaardige DLL sideload om SpiceRAT te laden.
De tweede variant omvat een HTML-applicatie (HTA) die een Windows-batchscript en een Base64-gecodeerde binaire downloader achterlaat. Het batchscript plant dat het binaire bestand van de downloader elke vijf minuten wordt uitgevoerd en een ander uitvoerbaar bestand, "ChromeDriver.exe", elke 10 minuten, dat een frauduleuze DLL sideloadt die SpiceRAT laadt. Elk onderdeel (ChromeDriver.exe, de DLL en de RAT-payload) wordt geëxtraheerd uit een ZIP-archief dat is opgehaald van een externe server.
SpiceRAT maakt gebruik van DLL side-loading-technieken om een DLL-lader te initiëren die lopende processen controleert op foutopsporing voordat de hoofdmodule vanuit het geheugen wordt uitgevoerd. Met de mogelijkheid om uitvoerbare binaire bestanden en willekeurige opdrachten te downloaden en uit te voeren, vergroot SpiceRAT het aanvalsoppervlak op het netwerk van het slachtoffer aanzienlijk, waardoor de weg wordt vrijgemaakt voor verdere inbraken.
Cisco Talos benadrukt het verhoogde risico dat deze geavanceerde aanvalsmethoden met zich meebrengen, en onderstreept daarmee het belang van waakzame cyberbeveiligingsmaatregelen ter bescherming tegen dergelijke geavanceerde bedreigingen.
