Um ator de ameaça que fala chinês, anteriormente não documentado, com codinome SneakyChef tem sido vinculado a uma campanha de espionagem visando principalmente entidades governamentais em toda a Ásia e EMEA (Europa, Oriente Médio e África) com malware SugarGh0st desde pelo menos agosto de 2023.
“O SneakyChef usa iscas que são documentos digitalizados de agências governamentais, a maioria dos quais relacionados aos Ministérios de Relações Exteriores ou embaixadas de vários países”, disseram os pesquisadores do Cisco Talos, Chetan Raghuprasad e Ashley Shen, em uma análise publicada hoje.
As atividades relacionadas à equipe de hackers foram destacadas pela primeira vez pela empresa de segurança cibernética no last de novembro de 2023, em conexão com uma campanha de ataque que destacou a Coreia do Sul e o Uzbequistão com uma variante personalizada do Gh0st RAT chamada SugarGh0st.
Uma análise subsequente da Proofpoint no mês passado descobriu o uso do SugarGh0st RAT contra organizações dos EUA envolvidas em esforços de inteligência synthetic, incluindo aquelas na academia, indústria privada e serviços governamentais. Ele está rastreando o cluster com o nome UNK_SweetSpecter.
A Talos disse que desde então observou o mesmo malware sendo usado para provavelmente se concentrar em várias entidades governamentais em Angola, Índia, Letônia, Arábia Saudita e Turcomenistão com base nos documentos de isca usados nas campanhas de spear-phishing, indicando uma ampliação do escopo dos países visados.
Além de aproveitar cadeias de ataque que fazem uso de arquivos de atalho do Home windows (LNK) incorporados em arquivos RAR para entregar o SugarGh0st, descobriu-se que a nova onda emprega um arquivo RAR autoextraível (SFX) como vetor de infecção inicial para lançar um Visible Script Básico (VBS) que executa o malware por meio de um carregador enquanto exibe simultaneamente o arquivo chamariz.
Os ataques contra Angola também são notáveis pelo facto de utilizar um novo trojan de acesso remoto com o nome de código SpiceRAT, usando iscas do Neytralny Turkmenistan, um jornal de língua russa no Turquemenistão.
O SpiceRAT, por sua vez, emprega duas cadeias de infecção diferentes para propagação, uma das quais usa um arquivo LNK presente dentro de um arquivo RAR que implanta o malware usando técnicas de carregamento lateral de DLL.
“Quando a vítima extrai o arquivo RAR, ele deixa cair o LNK e uma pasta oculta em sua máquina”, disseram os pesquisadores. “Depois que a vítima abre o arquivo de atalho, disfarçado de documento PDF, ela executa um comando incorporado para executar o executável do iniciador malicioso a partir da pasta oculta descartada.”
O inicializador então exibe o documento chamariz para a vítima e executa um binário legítimo (“dxcap.exe”), que posteriormente carrega uma DLL maliciosa responsável por carregar o SpiceRAT.
A segunda variante envolve o uso de um aplicativo HTML (HTA) que descarta um script em lote do Home windows e um binário de obtain codificado em Base64, com o primeiro iniciando o executável por meio de uma tarefa agendada a cada cinco minutos.
O script em lote também foi projetado para executar outro executável legítimo “ChromeDriver.exe” a cada 10 minutos, que então carrega uma DLL não autorizada que, por sua vez, carrega o SpiceRAT. Cada um desses componentes – ChromeDriver.exe, a DLL e a carga RAT – são extraídos de um arquivo ZIP recuperado pelo binário do downloader de um servidor remoto.
SpiceRAT também aproveita a técnica de carregamento lateral de DLL para iniciar um carregador de DLL, que captura a lista de processos em execução para verificar se está sendo depurado, seguido pela execução do módulo principal da memória.
“Com a capacidade de baixar e executar binários executáveis e comandos arbitrários, o SpiceRAT aumenta significativamente a superfície de ataque na rede da vítima, abrindo caminho para novos ataques”, disse Talos.
