中國駭客在全球間諜活動中部署的 SpiceRAT 和 SugarGh0st 惡意軟體揭露了 SneakyChef

一名先前未被通報的中文威脅行為者（現稱為 SneakyChef）與針對亞洲、歐洲、中東和非洲 (EMEA) 政府機構的大規模間諜活動有關。思科 Talos 的研究人員 Chetan Raghuprasad 和 Ashley Shen 表示，該活動至少從 2023 年 8 月開始持續，利用 SugarGh0st 惡意軟體。

SneakyChef 透過使用政府機構（特別是與外交部或大使館相關的機構）的掃描文件來實施欺騙策略。該網路安全公司於 2023 年 11 月下旬首次強調了這些活動，揭露了一場針對韓國和烏茲別克的攻擊活動，該活動使用了 Gh0st RAT 的自訂變體，名為 SugarGh0st。

Proofpoint 於 2024 年 5 月進行的進一步分析發現，針對涉及人工智慧的美國組織部署了 SugarGh0st RAT，涉及學術界、私營企業和政府部門。此活動群集已以 UNK_SweetSpecter 名稱進行追蹤。

值得注意的是，SneakyChef 活動與 Palo Alto Networks Unit 42 所稱的「外交幽靈行動」相對應。據 Unit 42 稱，這項活動自 2022 年底以來一直在持續，針對中東、非洲和亞洲的政府實體。此後，思科 Talos 根據魚叉式網路釣魚活動中使用的誘餌文件觀察到，相同的惡意軟體似乎主要針對安哥拉、印度、拉脫維亞、沙烏地阿拉伯和土庫曼斯坦的各個政府實體。這顯示目標國家範圍不斷擴大。

新一波攻擊不僅繼續利用 RAR 檔案中嵌入的 Windows 捷徑 (LNK) 檔案來傳播 SugarGh0st，而且還採用自解壓縮 RAR 檔案 (SFX) 作為初始感染媒介。此方法啟動一個 Visual Basic 腳本 (VBS)，該腳本透過載入程式執行惡意軟體，同時向受害者顯示誘餌檔案。

對安哥拉的攻擊尤其引人注目，因為引入了一種名為 SpiceRAT 的新遠端存取木馬。這些攻擊使用土庫曼斯坦的俄語報紙《Neytralny Turkmenistan》作為誘餌。 SpiceRAT 透過兩個不同的感染鏈進行傳播。其中一條鏈使用 RAR 存檔中的 LNK 文件，透過 DLL 側面載入技術部署惡意軟體。提取 RAR 檔案後，隱藏資料夾和 LNK 檔案就會被放置在受害者的電腦上。打開偽裝成 PDF 的 LNK 文件，運行嵌入式命令，從隱藏文件夾啟動惡意可執行文件，顯示誘餌文檔，並旁加載惡意 DLL 以加載 SpiceRAT。

第二種變體涉及 HTML 應用程式 (HTA)，該應用程式會刪除 Windows 批次腳本和 Base64 編碼的下載程式二進位檔案。批次腳本安排下載程式二進位檔案每五分鐘執行一次，另一個可執行檔「ChromeDriver.exe」每 10 分鐘執行一次，它會旁載入一個載入 SpiceRAT 的惡意 DLL。每個元件（ChromeDriver.exe、DLL 和 RAT 有效負載）都是從遠端伺服器檢索的 ZIP 檔案中提取的。

SpiceRAT 採用 DLL 側面載入技術來啟動 DLL 載入器，該裝置在從記憶體執行其主模組之前檢查正在執行的進程以進行偵錯。憑藉下載和運行可執行二進位檔案和任意命令的功能，SpiceRAT 顯著擴大了受害者網路的攻擊面，為進一步的入侵鋪平了道路。

思科 Talos 強調這些複雜的攻擊方法帶來的風險增加，並強調採取警覺的網路安全措施來防範此類進階威脅的重要性。