SpiceRAT och SugarGh0st Malware utplacerade av kinesiska hackare i en global spionagekampanj som avslöjar SneakyChef

En tidigare orapporterad kinesisktalande hotaktör, nu känd som SneakyChef, har kopplats till en omfattande spionageinsats riktad mot statliga organ i Asien, Europa, Mellanöstern och Afrika (EMEA). Denna kampanj, som har pågått sedan åtminstone augusti 2023, använder skadlig programvara SugarGh0st, enligt forskarna Chetan Raghuprasad och Ashley Shen från Cisco Talos.

SneakyChef använder vilseledande taktik genom att använda skannade dokument från statliga myndigheter, särskilt de som är associerade med utrikesministerier eller ambassader. Cybersäkerhetsföretaget lyfte först fram dessa aktiviteter i slutet av november 2023 och avslöjade en attackkampanj fokuserad på Sydkorea och Uzbekistan som använde en anpassad variant av Gh0st RAT, som heter SugarGh0st.

Ytterligare analys av Proofpoint i maj 2024 avslöjade utplaceringen av SugarGh0st RAT mot amerikanska organisationer involverade i artificiell intelligens, som spänner över akademi, privat industri och statliga sektorer. Detta aktivitetskluster har spårats under namnet UNK_SweetSpecter.

Noterbart är att SneakyChef-kampanjen motsvarar vad Palo Alto Networks Unit 42 har kallat Operation Diplomatic Spectre. Enligt enhet 42 har denna aktivitet pågått sedan slutet av 2022, riktad mot statliga enheter i Mellanöstern, Afrika och Asien. Cisco Talos har sedan dess observerat att samma skadliga program verkar fokusera på olika statliga enheter i Angola, Indien, Lettland, Saudiarabien och Turkmenistan, baserat på lockbetedokument som används i spjutfiskekampanjer. Detta indikerar ett växande antal målländer.

Den nya vågen av attacker fortsätter inte bara att använda Windows Shortcut (LNK)-filer inbäddade i RAR-arkiv för att leverera SugarGh0st utan använder också självextraherande RAR-arkiv (SFX) som en initial infektionsvektor. Den här metoden startar ett Visual Basic Script (VBS) som exekverar skadlig programvara via en laddare samtidigt som en lockbetsfil visas för offret.

Attacker på Angola är särskilt anmärkningsvärda för att introducera en ny fjärråtkomsttrojan , kallad SpiceRAT. Dessa attacker använder beten från "Neytralny Turkmenistan", en ryskspråkig tidning i Turkmenistan. SpiceRAT sprider sig genom två olika infektionskedjor. En kedja använder en LNK-fil i ett RAR-arkiv och distribuerar skadlig programvara genom DLL-tekniker för sidladdning. När RAR-filen extraheras släpps en dold mapp och LNK-fil på offrets dator. Genom att öppna LNK-filen, förklädd som en PDF, körs ett inbäddat kommando som startar en skadlig körbar fil från den dolda mappen, visar ett lockbetedokument och läser in en skadlig DLL för att ladda SpiceRAT.

Den andra varianten involverar en HTML-applikation (HTA) som släpper ett Windows-batchskript och en Base64-kodad nedladdningsbinär. Batchskriptet schemalägger nedladdningsprogrammets binärprogram att köras var femte minut och en annan körbar fil, "ChromeDriver.exe," var tionde minut, vilket sidladdar en oseriös DLL som laddar SpiceRAT. Varje komponent – ChromeDriver.exe, DLL:n och RAT-nyttolasten – extraheras från ett ZIP-arkiv som hämtas från en fjärrserver.

SpiceRAT använder DLL-sidoladdningstekniker för att initiera en DLL-laddare som kontrollerar pågående processer för felsökning innan huvudmodulen körs från minnet. Med möjligheter att ladda ner och köra körbara binärer och godtyckliga kommandon, breddar SpiceRAT attackytan avsevärt på offrets nätverk, vilket banar väg för ytterligare intrång.

Cisco Talos betonar den ökade risken som dessa sofistikerade attackmetoder innebär, och understryker vikten av vaksamma cybersäkerhetsåtgärder för att skydda mot sådana avancerade hot.