Hackers Chineses Usando o RAT SugarGh0st para Atacar a Coreia do Sul e o Uzbequistão
1 de Dezembro de 2023

Um ator de ameaças suspeito de falar chinês foi atribuído a uma campanha maliciosa que visa o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos com um cavalo de Troia de acesso remoto chamado SugarGh0st RAT.

A atividade, que começou no máximo em agosto de 2023, utiliza duas sequências de infecção diferentes para entregar o malware, que é uma variante personalizada do Gh0st RAT (também conhecido como Farfli).

Ele vem com recursos para "facilitar as tarefas de administração remota conforme dirigido pelo C2 e protocolo de comunicação modificado com base na similaridade da estrutura de comando e nas strings usadas no código", disseram os pesquisadores da Cisco Talos, Ashley Shen e Chetan Raghuprasad.

Os ataques começam com um e-mail de phishing contendo documentos de isca, cuja abertura ativa um processo de várias etapas que leva à implantação do SugarGh0st RAT.

Os documentos de isca estão incorporados dentro de um dropper JavaScript altamente ofuscado contido dentro de um arquivo de atalho do Windows incorporado no anexo de e-mail do arquivo RAR.

"O JavaScript decodifica e solta os arquivos incorporados na pasta %TEMP%, incluindo um script em lote, um carregador DLL personalizado, um payload SugarGh0st criptografada e um documento de isca", disseram os pesquisadores.

O documento de isca é então exibido à vítima, enquanto, em segundo plano, o script em lote executa o carregador DLL, que por sua vez, carrega de lado com uma versão copiada de um executável Windows legítimo chamado rundll32.exe para descriptografar e lançar o paylod SugarGh0st.

Uma segunda variante do ataque também começa com um arquivo RAR contendo um arquivo de atalho do Windows malicioso que se disfarça como isca, com a diferença de que o JavaScript aproveita o DynamicWrapperX para executar shellcode que lança o SugarGh0st.

SugarGh0st, uma biblioteca de link dinâmico (DLL) de 32 bits escrita em C++, estabelece contato com um domínio de comando e controle (C2) codificado, permitindo que ele transmita metadados do sistema para o servidor, lance um shell reverso e execute comandos arbitrários.

Ele também pode enumerar e terminar processos, tirar capturas de tela, realizar operações de arquivos e até limpar os logs de eventos da máquina na tentativa de encobrir seus rastros e evitar a detecção.

Os links da campanha com a China vêm das origens chinesas do Gh0st RAT e do fato de que a backdoor totalmente funcional tem sido amplamente adotada por atores de ameaças chineses ao longo dos anos, em parte impulsionada pela liberação de seu código fonte em 2008.

Outra evidência fumegante é o uso de nomes chineses no campo "última modificação por" nos metadados dos arquivos de isca.

"O malware Gh0st RAT é um elemento básico no arsenal dos atores de ameaças chineses e está ativo desde pelo menos 2008", disseram os pesquisadores.

"Atores chineses também têm um histórico de mirar no Uzbequistão.

O direcionamento do Ministério das Relações Exteriores do Uzbequistão também está alinhado com o escopo da atividade de inteligência chinesa no exterior."

O desenvolvimento ocorre à medida que grupos patrocinados pelo estado chinês também visaram cada vez mais Taiwan nos últimos seis meses, com os invasores reutilizando roteadores residenciais para mascarar suas intrusões, de acordo com o Google.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...