中国黑客在全球间谍活动中部署 SpiceRAT 和 SugarGh0st 恶意软件 揭露 SneakyChef

之前未报道过的一位中文威胁行为者（现名为 SneakyChef）涉嫌与针对亚洲、欧洲、中东和非洲 (EMEA) 政府机构的大规模间谍活动有关。思科 Talos 的研究人员 Chetan Raghuprasad 和 Ashley Shen 表示，该活动至少从 2023 年 8 月开始，利用了 SugarGh0st 恶意软件。

SneakyChef 使用来自政府机构（尤其是与外交部或大使馆有关的机构）的扫描文件来实施欺骗性策略。这家网络安全公司于 2023 年 11 月下旬首次强调了这些活动，揭露了针对韩国和乌兹别克斯坦的攻击活动，该攻击活动使用了 Gh0st RAT 的自定义变体 SugarGh0st。

2024 年 5 月，Proofpoint 进一步分析发现，SugarGh0st RAT 针对美国涉及人工智能的组织进行了部署，涉及学术界、私营企业和政府部门。该活动集群以 UNK_SweetSpecter 的名义被追踪。

值得注意的是，SneakyChef 活动与 Palo Alto Networks Unit 42 所称的“外交幽灵行动”相对应。据 Unit 42 称，该活动自 2022 年底以来一直在进行，目标是中东、非洲和亚洲的政府实体。此后，思科 Talos 观察到，根据鱼叉式网络钓鱼活动中使用的诱饵文件，同一种恶意软件似乎将目标对准了安哥拉、印度、拉脱维亚、沙特阿拉伯和土库曼斯坦的各个政府实体。这表明目标国家的范围正在扩大。

新一轮攻击不仅继续利用 RAR 档案中嵌入的 Windows 快捷方式 (LNK) 文件来传播 SugarGh0st，还利用自解压 RAR 档案 (SFX) 作为初始感染媒介。此方法会启动 Visual Basic 脚本 (VBS)，该脚本通过加载程序执行恶意软件，同时向受害者显示诱饵文件。

对安哥拉的攻击尤其引人注目，因为它引入了一种名为 SpiceRAT 的新型远程访问木马。这些攻击使用来自土库曼斯坦俄语报纸“Neytralny Turkmenistan”的诱饵。SpiceRAT 通过两种不同的感染链传播。一种感染链使用 RAR 存档中的 LNK 文件，通过 DLL 侧载技术部署恶意软件。提取 RAR 文件后，隐藏文件夹和 LNK 文件会投放到受害者的机器上。打开伪装成 PDF 的 LNK 文件，运行嵌入命令，从隐藏文件夹启动恶意可执行文件，显示诱饵文档，并侧载恶意 DLL 以加载 SpiceRAT。

第二种变体涉及 HTML 应用程序 (HTA)，它会植入 Windows 批处理脚本和 Base64 编码的下载程序二进制文件。批处理脚本安排下载程序二进制文件每五分钟运行一次，另一个可执行文件“ChromeDriver.exe”每 10 分钟运行一次，它会侧载加载 SpiceRAT 的恶意 DLL。每个组件（ChromeDriver.exe、DLL 和 RAT 负载）都是从远程服务器检索的 ZIP 存档中提取的。

SpiceRAT 采用 DLL 侧载技术来启动 DLL 加载程序，该加载程序会在从内存执行其主模块之前检查正在运行的进程以进行调试。SpiceRAT 能够下载并运行可执行二进制文件和任意命令，从而大大拓宽了受害者网络的攻击面，为进一步入侵铺平了道路。

思科 Talos 强调这些复杂的攻击方法所带来的风险增加，并强调了警惕的网络安全措施以防范此类高级威胁的重要性。