Un presunto actor de amenazas de habla china ha sido atribuido a una campaña maliciosa dirigida al Ministerio de Asuntos Exteriores de Uzbekistán y a usuarios de Corea del Sur con un troyano de acceso remoto llamado RATA SugarGh0st.
La actividad, que comenzó a más tardar en agosto de 2023, aprovecha dos secuencias de infección diferentes para distribuir el malware, que es una variante personalizada de RATA fantasma (también conocido como Farfli).
Viene con características para «facilitar las tareas de administración remota según las indicaciones del C2 y un protocolo de comunicación modificado basado en la similitud de la estructura de comando y las cadenas utilizadas en el código», dijeron los investigadores de Cisco Talos Ashley Shen y Chetan Raghuprasad. dicho.
Los ataques comienzan con un correo electrónico de phishing que contiene documentos señuelo, cuya apertura activa un proceso de varias etapas que conduce al despliegue de SugarGh0st RAT.
Los documentos señuelo se incorporan dentro de un cuentagotas de JavaScript muy ofuscado que está contenido en un archivo de acceso directo de Windows incrustado en el archivo adjunto del correo electrónico RAR.
«JavaScript decodifica y coloca los archivos incrustados en la carpeta %TEMP%, incluido un script por lotes, un cargador de DLL personalizado, una carga útil cifrada de SugarGh0st y un documento señuelo», dijeron los investigadores.
Luego, el documento señuelo se muestra a la víctima, mientras, en segundo plano, el script por lotes ejecuta el cargador de DLL, que, a su vez, lo carga lateralmente con una versión copiada de un ejecutable legítimo de Windows llamado rundll32.exe para descifrarlo e iniciarlo. la carga útil de SugarGh0st.
Una segunda variante del ataque también comienza con un archivo RAR que contiene un archivo de acceso directo de Windows malicioso que se hace pasar por un señuelo, con la diferencia de que JavaScript aprovecha DynamicWrapperX para ejecutar el código shell que inicia SugarGh0st.
SugarGh0st, una biblioteca de vínculos dinámicos (DLL) de 32 bits escrita en C++, establece contacto con un dominio de comando y control (C2) codificado, lo que le permite transmitir metadatos del sistema al servidor, iniciar un shell inverso y ejecutar comandos arbitrarios.
También puede enumerar y finalizar procesos, tomar capturas de pantalla, realizar operaciones con archivos e incluso borrar los registros de eventos de la máquina en un intento de cubrir sus huellas y evadir la detección.
Los vínculos de la campaña con China se derivan de los orígenes chinos de Gh0st RAT y del hecho de que los actores de amenazas chinos han adoptado ampliamente la puerta trasera completamente funcional a lo largo de los años, en parte impulsado por la publicación de su código fuente en 2008. Otra evidencia irrefutable es la uso de nombres chinos en el campo «última modificación por» en los metadatos de los archivos señuelo.
«El malware Gh0st RAT es un pilar del arsenal de los actores de amenazas chinos y ha estado activo desde al menos 2008», dijeron los investigadores.
«Los actores chinos también tienen un historial de atacar a Uzbekistán. Los ataques al Ministerio de Asuntos Exteriores de Uzbekistán también se alinean con el alcance de la actividad de inteligencia china en el extranjero».
Este acontecimiento se produce cuando grupos patrocinados por el Estado chino también han atacado cada vez más a Taiwán en los últimos seis meses, y los atacantes reutilizaron enrutadores residenciales para enmascarar sus intrusiones. según google.