Campanha global de espionagem
24 de Junho de 2024

Um ator de ameaça de origem chinesa, ainda não documentado anteriormente e com codinome SneakyChef, foi associado a uma campanha de espionagem visando principalmente entidades governamentais em toda a Ásia e EMEA (Europa, Oriente Médio e África) com o malware SugarGh0st desde pelo menos agosto de 2023.

"SneakyChef usa iscas que são documentos escaneados de agências governamentais, a maioria relacionada aos Ministérios de Relações Exteriores ou embaixadas de diversos países," disseram os pesquisadores da Cisco Talos, Chetan Raghuprasad e Ashley Shen, em uma análise publicada hoje.

As atividades relacionadas à equipe de hacking foram destacadas pela primeira vez pela empresa de cibersegurança no final de novembro de 2023, em conexão com uma campanha de ataque que visava a Coreia do Sul e Uzbequistão com uma variante customizada do Gh0st RAT chamada SugarGh0st.

Uma análise subsequente da Proofpoint no mês passado revelou o uso do RAT SugarGh0st contra organizações dos EUA envolvidas com esforços em inteligência artificial, incluindo aquelas na academia, indústria privada e serviços governamentais.

Está rastreando o cluster sob o nome UNK_SweetSpecter.

Vale mencionar, nesse estágio, que SneakyChef refere-se à mesma campanha que a Palo Alto Networks Unit 42 codinomeou como Operation Diplomatic Specter.

A atividade, segundo o fornecedor de segurança, está ocorrendo desde pelo menos o final de 2022, atingindo entidades governamentais no Oriente Médio, África e Ásia.

A Talos disse que, desde então, observou o mesmo malware sendo usado provavelmente com foco em várias entidades governamentais através de Angola, Índia, Letônia, Arábia Saudita e Turcomenistão com base nos documentos isca usados nas campanhas de spear-phishing, indicando uma ampliação do escopo dos países visados.

Além de aproveitar cadeias de ataque que fazem uso de arquivos Windows Shortcut (LNK) embutidos dentro de arquivos RAR para entregar o SugarGh0st, a nova onda foi encontrada empregando um arquivo RAR autoextrativo (SFX) como um vetor de infecção inicial para lançar um Visual Basic Script (VBS) que, em última análise, executa o malware por meio de um carregador, enquanto simultaneamente exibe o arquivo isca.

Os ataques contra Angola são também notáveis pelo fato de que utilizam um novo remote access trojan codinome SpiceRAT usando iscas do Neytralny Turkmenistan, um jornal em língua russa no Turcomenistão.

SpiceRAT, por sua vez, utiliza duas diferentes cadeias de infecção para propagação, uma das quais usa um arquivo LNK presente dentro de um arquivo RAR que implementa o malware usando técnicas de DLL side-loading.

"Quando a vítima extrai o arquivo RAR, ele solta o LNK e uma pasta oculta em sua máquina," disseram os pesquisadores.

Depois que uma vítima abre o arquivo de atalho, que se passa por um documento PDF, ele executa um comando embutido para rodar o executável malicioso da pasta oculta derrubada.

O lançador então prossegue para exibir o documento isca para a vítima e executar um binário legítimo ("dxcap.exe"), que subsequentemente emprega um DLL malicioso responsável por carregar o SpiceRAT.

A segunda variante envolve o uso de uma Aplicação HTML (HTA) que solta um script em lote do Windows e um binário baixador codificado em Base64, com o primeiro iniciando o executável por meio de uma tarefa agendada a cada cinco minutos.

O script em lote também é projetado para executar outro executável legítimo "ChromeDriver.exe" a cada 10 minutos, que então emprega um DLL malicioso que, por sua vez, carrega o SpiceRAT.

Cada um desses componentes – ChromeDriver.exe, o DLL e o payload do RAT – são extraídos de um arquivo ZIP recuperado pelo binário baixador de um servidor remoto.

SpiceRAT também tira vantagem da técnica de DLL side-loading para iniciar um carregador de DLL, que captura a lista de processos em execução para verificar se está sendo depurado, seguido pela execução do módulo principal a partir da memória.

"Com a capacidade de baixar e executar binários executáveis e comandos arbitrários, o SpiceRAT aumenta significativamente a superfície de ataque na rede da vítima, abrindo caminho para ataques adicionais," disse a Talos.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...