Un presunto actor de amenazas de habla china ha sido atribuido a una campa\u00f1a maliciosa dirigida al Ministerio de Asuntos Exteriores de Uzbekist\u00e1n y a usuarios de Corea del Sur con un troyano de acceso remoto llamado RATA SugarGh0st<\/strong>.<\/p>\n La actividad, que comenz\u00f3 a m\u00e1s tardar en agosto de 2023, aprovecha dos secuencias de infecci\u00f3n diferentes para distribuir el malware, que es una variante personalizada de RATA fantasma<\/a> (tambi\u00e9n conocido como Farfli).<\/p>\n Viene con caracter\u00edsticas para “facilitar las tareas de administraci\u00f3n remota seg\u00fan las indicaciones del C2 y un protocolo de comunicaci\u00f3n modificado basado en la similitud de la estructura de comando y las cadenas utilizadas en el c\u00f3digo”, dijeron los investigadores de Cisco Talos Ashley Shen y Chetan Raghuprasad. dicho<\/a>.<\/p>\n Los ataques comienzan con un correo electr\u00f3nico de phishing que contiene documentos se\u00f1uelo, cuya apertura activa un proceso de varias etapas que conduce al despliegue de SugarGh0st RAT.<\/p>\n Los documentos se\u00f1uelo se incorporan dentro de un cuentagotas de JavaScript muy ofuscado que est\u00e1 contenido en un archivo de acceso directo de Windows incrustado en el archivo adjunto del correo electr\u00f3nico RAR.<\/p>\n “JavaScript decodifica y coloca los archivos incrustados en la carpeta %TEMP%, incluido un script por lotes, un cargador de DLL personalizado, una carga \u00fatil cifrada de SugarGh0st y un documento se\u00f1uelo”, dijeron los investigadores.<\/p>\n Luego, el documento se\u00f1uelo se muestra a la v\u00edctima, mientras, en segundo plano, el script por lotes ejecuta el cargador de DLL, que, a su vez, lo carga lateralmente con una versi\u00f3n copiada de un ejecutable leg\u00edtimo de Windows llamado rundll32.exe para descifrarlo e iniciarlo. la carga \u00fatil de SugarGh0st.<\/p>\n Una segunda variante del ataque tambi\u00e9n comienza con un archivo RAR que contiene un archivo de acceso directo de Windows malicioso que se hace pasar por un se\u00f1uelo, con la diferencia de que JavaScript aprovecha DynamicWrapperX para ejecutar el c\u00f3digo shell que inicia SugarGh0st.<\/p>\n SugarGh0st, una biblioteca de v\u00ednculos din\u00e1micos (DLL) de 32 bits escrita en C++, establece contacto con un dominio de comando y control (C2) codificado, lo que le permite transmitir metadatos del sistema al servidor, iniciar un shell inverso y ejecutar comandos arbitrarios.<\/p>\n Tambi\u00e9n puede enumerar y finalizar procesos, tomar capturas de pantalla, realizar operaciones con archivos e incluso borrar los registros de eventos de la m\u00e1quina en un intento de cubrir sus huellas y evadir la detecci\u00f3n.<\/p>\n Los v\u00ednculos de la campa\u00f1a con China se derivan de los or\u00edgenes chinos de Gh0st RAT y del hecho de que los actores de amenazas chinos han adoptado ampliamente la puerta trasera completamente funcional a lo largo de los a\u00f1os, en parte impulsado por la publicaci\u00f3n de su c\u00f3digo fuente en 2008. Otra evidencia irrefutable es la uso de nombres chinos en el campo “\u00faltima modificaci\u00f3n por” en los metadatos de los archivos se\u00f1uelo.<\/p>\n “El malware Gh0st RAT es un pilar del arsenal de los actores de amenazas chinos y ha estado activo desde al menos 2008”, dijeron los investigadores.<\/p>\n “Los actores chinos tambi\u00e9n tienen un historial de atacar a Uzbekist\u00e1n. Los ataques al Ministerio de Asuntos Exteriores de Uzbekist\u00e1n tambi\u00e9n se alinean con el alcance de la actividad de inteligencia china en el extranjero”.<\/p>\n Este acontecimiento se produce cuando grupos patrocinados por el Estado chino tambi\u00e9n han atacado cada vez m\u00e1s a Taiw\u00e1n en los \u00faltimos seis meses, y los atacantes reutilizaron enrutadores residenciales para enmascarar sus intrusiones. seg\u00fan google<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Hackers-chinos-utilizan-SugarGh0st-RAT-para-atacar-a-Corea-del.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n