Вредоносное ПО SpiceRAT и SugarGh0st, развернутое китайскими хакерами в рамках глобальной шпионской кампании по раскрытию SneakyChef

Ранее не сообщалось, что китайскоязычный злоумышленник, теперь известный как SneakyChef, был связан с обширной шпионской операцией, направленной против государственных органов в Азии, Европе, на Ближнем Востоке и в Африке (EMEA). По словам исследователей Четана Рагхупрасада и Эшли Шен из Cisco Talos, в этой кампании, продолжающейся как минимум с августа 2023 года, используется вредоносное ПО SugarGh0st.

SneakyChef использует обманную тактику, используя отсканированные документы государственных учреждений, особенно связанных с министерствами иностранных дел или посольствами. Компания по кибербезопасности впервые сообщила об этой деятельности в конце ноября 2023 года, раскрыв кампанию атак, ориентированную на Южную Корею и Узбекистан, в которой использовался специальный вариант Gh0st RAT под названием SugarGh0st.

Дальнейший анализ, проведенный Proofpoint в мае 2024 года, выявил использование SugarGh0st RAT против американских организаций, занимающихся искусственным интеллектом, охватывающих научные круги, частную промышленность и государственный сектор. Этот кластер активности отслеживался под названием UNK_SweetSpecter.

Примечательно, что кампания SneakyChef соответствует тому, что подразделение 42 компании Palo Alto Networks назвало операцией «Дипломатический призрак». По данным Unit 42, эта деятельность продолжается с конца 2022 года и нацелена на государственные структуры на Ближнем Востоке, в Африке и Азии. С тех пор Cisco Talos заметила, что одно и то же вредоносное ПО, судя по всему, нацелено на различные правительственные учреждения в Анголе, Индии, Латвии, Саудовской Аравии и Туркменистане, основываясь на документах-приманках, используемых в целевых фишинговых кампаниях. Это указывает на расширение охвата целевых стран.

Новая волна атак не только продолжает использовать файлы ярлыков Windows (LNK), встроенные в архивы RAR, для доставки SugarGh0st, но также использует самораспаковывающиеся архивы RAR (SFX) в качестве первоначального вектора заражения. Этот метод запускает сценарий Visual Basic (VBS), который запускает вредоносное ПО через загрузчик, одновременно отображая жертве файл-ловушку.

Атаки на Анголу особенно примечательны появлением нового трояна удаленного доступа , получившего название SpiceRAT. В этих нападениях используются приманки туркменской русскоязычной газеты «Нейтральный Туркменистан». SpiceRAT распространяется через две разные цепочки заражения. Одна цепочка использует файл LNK в архиве RAR, развертывая вредоносное ПО с помощью методов боковой загрузки DLL. После извлечения файла RAR на компьютер жертвы помещаются скрытая папка и файл LNK. Открытие файла LNK, замаскированного под PDF-файл, запускает встроенную команду, которая запускает вредоносный исполняемый файл из скрытой папки, отображает документ-ловушку и загружает вредоносную DLL для загрузки SpiceRAT.

Второй вариант включает в себя HTML-приложение (HTA), которое удаляет пакетный сценарий Windows и двоичный файл загрузчика в кодировке Base64. Пакетный сценарий планирует запуск двоичного файла загрузчика каждые пять минут, а другого исполняемого файла «ChromeDriver.exe» — каждые 10 минут, который загружает несанкционированную DLL, загружающую SpiceRAT. Каждый компонент — ChromeDriver.exe, DLL и полезная нагрузка RAT — извлекается из ZIP-архива, полученного с удаленного сервера.

SpiceRAT использует методы боковой загрузки DLL для запуска загрузчика DLL, который проверяет запущенные процессы на предмет отладки перед выполнением своего основного модуля из памяти. Благодаря возможностям загрузки и запуска исполняемых двоичных файлов и произвольных команд SpiceRAT значительно расширяет поверхность атаки в сети жертвы, открывая путь для дальнейших вторжений.

Cisco Talos подчеркивает повышенный риск, создаваемый этими сложными методами атак, подчеркивая важность бдительных мер кибербезопасности для защиты от таких сложных угроз.