Szkodliwe oprogramowanie SpiceRAT i SugarGh0st wdrożone przez chińskich hakerów w globalnej kampanii szpiegowskiej odkrywającej SneakyChef

Niezgłoszony wcześniej chińskojęzyczny ugrupowanie zagrażające, obecnie znane jako SneakyChef, zostało powiązane z zakrojoną na szeroką skalę operacją szpiegowską wymierzoną w organy rządowe w Azji, Europie, na Bliskim Wschodzie i w Afryce (EMEA). Według badaczy Chetana Raghuprasada i Ashley Shen z Cisco Talos ta kampania, trwająca co najmniej od sierpnia 2023 r., wykorzystuje złośliwe oprogramowanie SugarGh0st.

SneakyChef stosuje zwodnicze taktyki, wykorzystując zeskanowane dokumenty pochodzące z agencji rządowych, zwłaszcza tych powiązanych z Ministerstwami Spraw Zagranicznych lub ambasadami. Firma zajmująca się cyberbezpieczeństwem po raz pierwszy zwróciła uwagę na te działania pod koniec listopada 2023 r., ujawniając kampanię ataków skupioną na Korei Południowej i Uzbekistanie, w której wykorzystano niestandardowy wariant Gh0st RAT o nazwie SugarGh0st.

Dalsza analiza przeprowadzona przez firmę Proofpoint w maju 2024 r. ujawniła wdrożenie SugarGh0st RAT przeciwko amerykańskim organizacjom zajmującym się sztuczną inteligencją, obejmującym środowisko akademickie, przemysł prywatny i sektory rządowe. Ten klaster aktywności był śledzony pod nazwą UNK_SweetSpecter.

Warto zauważyć, że kampania SneakyChef odpowiada temu, co jednostka 42 Palo Alto Networks określiła mianem operacji Diplomatic Spectre. Według Jednostki 42 działanie to trwa od końca 2022 r. i jest skierowane do podmiotów rządowych na Bliskim Wschodzie, w Afryce i Azji. Od tego czasu Cisco Talos zaobserwował, że to samo złośliwe oprogramowanie wydaje się skupiać na różnych jednostkach rządowych w Angoli, Indiach, Łotwie, Arabii Saudyjskiej i Turkmenistanie, na podstawie dokumentów zawierających przynęty wykorzystywanych w kampaniach typu spear-phishing. Wskazuje to na rosnący zakres krajów docelowych.

Nowa fala ataków nie tylko w dalszym ciągu wykorzystuje pliki Windows Shortcut (LNK) osadzone w archiwach RAR w celu dostarczenia SugarGh0st, ale także wykorzystuje samorozpakowujące się archiwa RAR (SFX) jako początkowy wektor infekcji. Ta metoda uruchamia skrypt Visual Basic (VBS), który uruchamia złośliwe oprogramowanie za pomocą modułu ładującego, wyświetlając ofierze plik-wabik.

Ataki na Angolę są szczególnie godne uwagi ze względu na wprowadzenie nowego trojana zdalnego dostępu , nazwanego SpiceRAT. W atakach tych wykorzystuje się przynęty „Neytralny Turkmenistan”, rosyjskojęzycznej gazety wydawanej w Turkmenistanie. SpiceRAT rozprzestrzenia się poprzez dwa różne łańcuchy infekcji. Jeden z łańcuchów wykorzystuje plik LNK w archiwum RAR, wdrażając złośliwe oprogramowanie za pomocą technik ładowania bocznego biblioteki DLL. Po wyodrębnieniu pliku RAR na komputer ofiary upuszczany jest ukryty folder i plik LNK. Otwarcie pliku LNK pod postacią pliku PDF uruchamia osadzone polecenie, które uruchamia złośliwy plik wykonywalny z ukrytego folderu, wyświetla dokument-wabik i ładuje bocznie złośliwą bibliotekę DLL w celu załadowania SpiceRAT.

Drugi wariant obejmuje aplikację HTML (HTA), która usuwa skrypt wsadowy systemu Windows i plik binarny modułu pobierania zakodowany w formacie Base64. Skrypt wsadowy planuje uruchamianie pliku binarnego modułu pobierania co pięć minut, a innego pliku wykonywalnego „ChromeDriver.exe” co 10 minut, co powoduje boczne ładowanie fałszywej biblioteki DLL ładującej SpiceRAT. Każdy komponent — ChromeDriver.exe, biblioteka DLL i ładunek RAT — jest wyodrębniany z archiwum ZIP pobranego ze zdalnego serwera.

SpiceRAT wykorzystuje techniki bocznego ładowania bibliotek DLL w celu zainicjowania modułu ładującego DLL, który sprawdza uruchomione procesy pod kątem debugowania przed wykonaniem głównego modułu z pamięci. Dzięki możliwościom pobierania i uruchamiania wykonywalnych plików binarnych i dowolnych poleceń SpiceRAT znacznie poszerza obszar ataku w sieci ofiary, torując drogę dalszym włamaniom.

Cisco Talos podkreśla zwiększone ryzyko, jakie stwarzają te wyrafinowane metody ataku, podkreślając znaczenie czujnych środków cyberbezpieczeństwa w celu ochrony przed tak zaawansowanymi zagrożeniami.