Un acteur malveillant présumé parlant chinois a été attribué à une campagne malveillante ciblant le ministère des Affaires étrangères de l’Ouzbékistan et les utilisateurs sud-coréens avec un cheval de Troie d’accès à distance appelé SugarGh0st RAT.
L’activité, qui a débuté au plus tard en août 2023, exploite deux séquences d’infection différentes pour diffuser le malware, qui est une variante personnalisée de Gh0st RAT (alias Farfli).
Il est doté de fonctionnalités permettant de « faciliter les tâches d’administration à distance selon les instructions du protocole de communication C2 et modifié en fonction de la similitude de la structure de commande et des chaînes utilisées dans le code », ont déclaré Ashley Shen et Chetan Raghuprasad, chercheurs de Cisco Talos. dit.
Les attaques commencent par un e-mail de phishing contenant des documents leurres, dont l’ouverture active un processus en plusieurs étapes qui conduit au déploiement de SugarGh0st RAT.
Les documents leurres sont incorporés dans un compte-gouttes JavaScript fortement obscurci qui est contenu dans un fichier de raccourci Windows intégré dans la pièce jointe de l’e-mail d’archive RAR.
« Le JavaScript décode et dépose les fichiers intégrés dans le dossier %TEMP%, y compris un script batch, un chargeur DLL personnalisé, une charge utile SugarGh0st cryptée et un document leurre », ont indiqué les chercheurs.
Le document leurre est ensuite affiché à la victime, tandis qu’en arrière-plan, le script batch exécute le chargeur de DLL, qui, à son tour, le charge avec une version copiée d’un exécutable Windows légitime appelé rundll32.exe pour le décrypter et le lancer. la charge utile SugarGh0st.
Une deuxième variante de l’attaque commence également par une archive RAR contenant un fichier de raccourci Windows malveillant qui se fait passer pour un leurre, la différence étant que le JavaScript exploite DynamicWrapperX pour exécuter le shellcode qui lance SugarGh0st.
SugarGh0st, une bibliothèque de liens dynamiques (DLL) 32 bits écrite en C++, établit un contact avec un domaine de commande et de contrôle (C2) codé en dur, lui permettant de transmettre des métadonnées système au serveur, de lancer un shell inversé et exécuter des commandes arbitraires.
Il peut également énumérer et terminer des processus, prendre des captures d’écran, effectuer des opérations sur les fichiers et même effacer les journaux d’événements de la machine pour tenter de brouiller les pistes et d’échapper à la détection.
Les liens de la campagne avec la Chine proviennent des origines chinoises de Gh0st RAT et du fait que la porte dérobée entièrement fonctionnelle a été largement adoptée par les acteurs de la menace chinoise au fil des ans, en partie grâce à la publication de son code source en 2008. Une autre preuve irréfutable est la utilisation de noms chinois dans le champ « dernière modification par » dans les métadonnées des fichiers leurres.
« Le malware Gh0st RAT est un pilier de l’arsenal des acteurs chinois de la menace et est actif depuis au moins 2008 », ont déclaré les chercheurs.
« Les acteurs chinois ont également l’habitude de cibler l’Ouzbékistan. Le ciblage du ministère des Affaires étrangères de l’Ouzbékistan correspond également à la portée des activités des services de renseignement chinois à l’étranger. »
Cette évolution intervient alors que des groupes parrainés par l’État chinois ont également de plus en plus ciblé Taïwan au cours des six derniers mois, les attaquants réutilisant les routeurs résidentiels pour masquer leurs intrusions. selon Google.