Malware SpiceRAT e SugarGh0st implantado por hackers chineses em campanha global de espionagem revelando SneakyChef

Um ator de ameaça de língua chinesa, anteriormente não denunciado, agora conhecido como SneakyChef, foi ligado a uma extensa operação de espionagem que visa órgãos governamentais na Ásia, Europa, Médio Oriente e África (EMEA). Esta campanha, em andamento pelo menos desde agosto de 2023, utiliza o malware SugarGh0st, de acordo com os pesquisadores Chetan Raghuprasad e Ashley Shen da Cisco Talos.

SneakyChef emprega táticas enganosas ao usar documentos digitalizados de agências governamentais, especialmente aquelas associadas aos Ministérios das Relações Exteriores ou embaixadas. A empresa de segurança cibernética destacou essas atividades pela primeira vez no final de novembro de 2023, revelando uma campanha de ataque focada na Coreia do Sul e no Uzbequistão que usava uma variante personalizada do Gh0st RAT, chamada SugarGh0st.

Uma análise mais aprofundada da Proofpoint em maio de 2024 revelou a implantação do SugarGh0st RAT contra organizações dos EUA envolvidas em inteligência artificial, abrangendo a academia, a indústria privada e os setores governamentais. Este cluster de atividade foi rastreado sob o nome UNK_SweetSpecter.

Notavelmente, a campanha SneakyChef corresponde ao que a Unidade 42 da Palo Alto Networks denominou Operação Espectro Diplomático. De acordo com a Unidade 42, esta actividade está em curso desde finais de 2022, visando entidades governamentais no Médio Oriente, África e Ásia. Desde então, o Cisco Talos observou que o mesmo malware parece estar concentrado em várias entidades governamentais em Angola, Índia, Letónia, Arábia Saudita e Turquemenistão, com base em documentos de isca utilizados em campanhas de spear-phishing. Isto indica um âmbito cada vez maior de países-alvo.

A nova onda de ataques não apenas continua a utilizar arquivos de atalho do Windows (LNK) incorporados em arquivos RAR para entregar o SugarGh0st, mas também emprega arquivos RAR autoextraíveis (SFX) como vetor de infecção inicial. Este método inicia um Visual Basic Script (VBS) que executa o malware por meio de um carregador enquanto exibe um arquivo chamariz para a vítima.

Os ataques a Angola são particularmente notáveis pela introdução de um novo trojan de acesso remoto , denominado SpiceRAT. Esses ataques usam iscas do "Neytralny Turkmenistan", um jornal de língua russa do Turcomenistão. O SpiceRAT se propaga através de duas cadeias de infecção diferentes. Uma cadeia usa um arquivo LNK dentro de um arquivo RAR, implantando o malware por meio de técnicas de carregamento lateral de DLL. Ao extrair o arquivo RAR, uma pasta oculta e um arquivo LNK são colocados na máquina da vítima. Abrir o arquivo LNK, disfarçado de PDF, executa um comando incorporado que inicia um executável malicioso da pasta oculta, exibe um documento falso e carrega uma DLL maliciosa para carregar o SpiceRAT.

A segunda variante envolve um aplicativo HTML (HTA) que descarta um script em lote do Windows e um binário de download codificado em Base64. O script em lote agenda o downloader binário para ser executado a cada cinco minutos e outro executável, “ChromeDriver.exe”, a cada 10 minutos, que carrega uma DLL não autorizada que carrega o SpiceRAT. Cada componente – ChromeDriver.exe, DLL e carga útil RAT – é extraído de um arquivo ZIP recuperado de um servidor remoto.

SpiceRAT emprega técnicas de carregamento lateral de DLL para iniciar um carregador de DLL que verifica os processos em execução para depuração antes de executar seu módulo principal da memória. Com capacidade para baixar e executar binários executáveis e comandos arbitrários, o SpiceRAT amplia significativamente a superfície de ataque na rede da vítima, abrindo caminho para novas invasões.

O Cisco Talos enfatiza o aumento do risco representado por estes métodos de ataque sofisticados, sublinhando a importância de medidas vigilantes de segurança cibernética para proteger contra tais ameaças avançadas.