Um ator de ameaças suspeito de falar chinês foi atribuído a uma campanha maliciosa que visa o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos com um cavalo de Troia de acesso remoto chamado SugarGh0st RAT.
A atividade, que começou no máximo em agosto de 2023, utiliza duas sequências de infecção diferentes para entregar o malware, que é uma variante personalizada do Gh0st RAT (também conhecido como Farfli).
Ele vem com recursos para "facilitar as tarefas de administração remota conforme dirigido pelo C2 e protocolo de comunicação modificado com base na similaridade da estrutura de comando e nas strings usadas no código", disseram os pesquisadores da Cisco Talos, Ashley Shen e Chetan Raghuprasad.
Os ataques começam com um e-mail de phishing contendo documentos de isca, cuja abertura ativa um processo de várias etapas que leva à implantação do SugarGh0st RAT.
Os documentos de isca estão incorporados dentro de um dropper JavaScript altamente ofuscado contido dentro de um arquivo de atalho do Windows incorporado no anexo de e-mail do arquivo RAR.
"O JavaScript decodifica e solta os arquivos incorporados na pasta %TEMP%, incluindo um script em lote, um carregador DLL personalizado, um payload SugarGh0st criptografada e um documento de isca", disseram os pesquisadores.
O documento de isca é então exibido à vítima, enquanto, em segundo plano, o script em lote executa o carregador DLL, que por sua vez, carrega de lado com uma versão copiada de um executável Windows legítimo chamado rundll32.exe para descriptografar e lançar o paylod SugarGh0st.
Uma segunda variante do ataque também começa com um arquivo RAR contendo um arquivo de atalho do Windows malicioso que se disfarça como isca, com a diferença de que o JavaScript aproveita o DynamicWrapperX para executar shellcode que lança o SugarGh0st.
SugarGh0st, uma biblioteca de link dinâmico (DLL) de 32 bits escrita em C++, estabelece contato com um domínio de comando e controle (C2) codificado, permitindo que ele transmita metadados do sistema para o servidor, lance um shell reverso e execute comandos arbitrários.
Ele também pode enumerar e terminar processos, tirar capturas de tela, realizar operações de arquivos e até limpar os logs de eventos da máquina na tentativa de encobrir seus rastros e evitar a detecção.
Os links da campanha com a China vêm das origens chinesas do Gh0st RAT e do fato de que a backdoor totalmente funcional tem sido amplamente adotada por atores de ameaças chineses ao longo dos anos, em parte impulsionada pela liberação de seu código fonte em 2008.
Outra evidência fumegante é o uso de nomes chineses no campo "última modificação por" nos metadados dos arquivos de isca.
"O malware Gh0st RAT é um elemento básico no arsenal dos atores de ameaças chineses e está ativo desde pelo menos 2008", disseram os pesquisadores.
"Atores chineses também têm um histórico de mirar no Uzbequistão.
O direcionamento do Ministério das Relações Exteriores do Uzbequistão também está alinhado com o escopo da atividade de inteligência chinesa no exterior."
O desenvolvimento ocorre à medida que grupos patrocinados pelo estado chinês também visaram cada vez mais Taiwan nos últimos seis meses, com os invasores reutilizando roteadores residenciais para mascarar suas intrusões, de acordo com o Google.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...