Un actor de amenazas de habla china previamente indocumentado con nombre en código Chef furtivo se ha vinculado a una campaña de espionaje dirigida principalmente a entidades gubernamentales en Asia y EMEA (Europa, Medio Oriente y África) con malware SugarGh0st desde al menos agosto de 2023.
«SneakyChef utiliza señuelos que son documentos escaneados de agencias gubernamentales, la mayoría de las cuales están relacionadas con los Ministerios de Asuntos Exteriores o embajadas de varios países», afirman los investigadores de Cisco Talos, Chetan Raghuprasad y Ashley Shen. dicho en un análisis publicado hoy.
La empresa de ciberseguridad destacó por primera vez las actividades relacionadas con el equipo de piratería a finales de noviembre de 2023 en relación con una campaña de ataque que atacó a Corea del Sur y Uzbekistán con una variante personalizada de Gh0st RAT llamada AzúcarGh0st.
Un análisis posterior de Proofpoint el mes pasado descubrió el uso de SugarGh0st RAT contra organizaciones estadounidenses involucradas en esfuerzos de inteligencia artificial, incluidas aquellas en el mundo académico, la industria privada y el servicio gubernamental. Está rastreando el clúster con el nombre UNK_SweetSpecter.
Talos dijo que desde entonces ha observado que se utiliza el mismo malware para probablemente centrarse en varias entidades gubernamentales en Angola, India, Letonia, Arabia Saudita y Turkmenistán basándose en los documentos señuelo utilizados en las campañas de phishing, lo que indica una ampliación del alcance. de los países destinatarios.
Además de aprovechar las cadenas de ataque que utilizan archivos de acceso directo de Windows (LNK) integrados en archivos RAR para lanzar SugarGh0st, se ha descubierto que la nueva ola emplea un archivo RAR autoextraíble (SFX) como vector de infección inicial para lanzar un archivo Visual. Basic Script (VBS) que finalmente ejecuta el malware mediante un cargador y al mismo tiempo muestra el archivo señuelo.
Los ataques contra Angola también son notables por el hecho de que utiliza un nuevo troyano de acceso remoto con nombre en código SpiceRAT que utiliza señuelos de Neytralny Turkmenistan, un periódico en ruso de Turkmenistán.
SpiceRAT, por su parte, emplea dos cadenas de infección diferentes para la propagación, una de las cuales utiliza un archivo LNK presente dentro de un archivo RAR que implementa el malware mediante técnicas de carga lateral de DLL.
«Cuando la víctima extrae el archivo RAR, coloca el LNK y una carpeta oculta en su máquina», dicen los investigadores. dicho. «Después de que una víctima abre el archivo de acceso directo, que se hace pasar por un documento PDF, ejecuta un comando incrustado para ejecutar el iniciador malicioso ejecutable desde la carpeta oculta caída».
Luego, el iniciador procede a mostrar el documento señuelo a la víctima y ejecuta un binario legítimo («dxcap.exe»), que posteriormente descarga una DLL maliciosa responsable de cargar SpiceRAT.
La segunda variante implica el uso de una aplicación HTML (HTA) que coloca un script por lotes de Windows y un descargador binario codificado en Base64, y el primero lanza el ejecutable mediante una tarea programada cada cinco minutos.
El script por lotes también está diseñado para ejecutar otro ejecutable legítimo, «ChromeDriver.exe», cada 10 minutos, que luego descarga una DLL fraudulenta que, a su vez, carga SpiceRAT. Cada uno de estos componentes (ChromeDriver.exe, la DLL y la carga útil RAT) se extraen de un archivo ZIP recuperado por el binario del descargador desde un servidor remoto.
SpiceRAT también aprovecha la técnica de carga lateral de DLL para iniciar un cargador de DLL, que captura la lista de procesos en ejecución para verificar si se está depurando, y luego ejecuta el módulo principal desde la memoria.
«Con la capacidad de descargar y ejecutar binarios ejecutables y comandos arbitrarios, SpiceRAT aumenta significativamente la superficie de ataque en la red de la víctima, allanando el camino para futuros ataques», dijo Talos.