Een vermoedelijke Chineessprekende bedreigingsacteur is toegeschreven aan een kwaadwillige campagne die zich richt op het Oezbeekse Ministerie van Buitenlandse Zaken en Zuid-Koreaanse gebruikers met een trojan voor externe toegang genaamd SuikerGh0st RAT.
De activiteit, die uiterlijk in augustus 2023 begon, maakt gebruik van twee verschillende infectiesequenties om de malware af te leveren, een aangepaste variant van Gh0st RAT (ook bekend als Farfli).
Het wordt geleverd met functies om “de taken voor extern beheer te vergemakkelijken zoals voorgeschreven door de C2 en een aangepast communicatieprotocol gebaseerd op de gelijkenis van de commandostructuur en de strings die in de code worden gebruikt”, aldus Cisco Talos-onderzoekers Ashley Shen en Chetan Raghuprasad.
De aanvallen beginnen met een phishing-e-mail met lokdocumenten, die een meerfasig proces activeert dat leidt tot de inzet van SugarGh0st RAT.
De lokdocumenten zijn opgenomen in een zwaar versluierde JavaScript-dropper die is opgenomen in een Windows-snelkoppelingsbestand dat is ingebed in de e-mailbijlage van het RAR-archief.
“JavaScript decodeert de ingebedde bestanden en zet deze neer in de map %TEMP%, inclusief een batchscript, een aangepaste DLL-lader, een gecodeerde SugarGh0st-payload en een lokdocument”, aldus de onderzoekers.
Het lokdocument wordt vervolgens aan het slachtoffer getoond, terwijl op de achtergrond het batchscript de DLL-lader uitvoert, die het op zijn beurt laadt met een gekopieerde versie van een legitiem Windows-uitvoerbaar bestand genaamd rundll32.exe om te decoderen en te starten de SugarGh0st-payload.
Een tweede variant van de aanval begint ook met een RAR-archief dat een kwaadaardig Windows-snelkoppelingsbestand bevat dat zich voordoet als lokmiddel, met het verschil dat JavaScript DynamicWrapperX gebruikt om shellcode uit te voeren die SugarGh0st start.
SugarGh0st, een 32-bits dynamic-link bibliotheek (DLL) geschreven in C++, brengt contact tot stand met een hardgecodeerd command-and-control (C2) domein, waardoor het systeemmetagegevens naar de server kan verzenden, een reverse shell kan starten en willekeurige opdrachten uitvoeren.
Het kan ook processen opsommen en beëindigen, schermafbeeldingen maken, bestandsbewerkingen uitvoeren en zelfs de gebeurtenislogboeken van de machine wissen in een poging zijn sporen uit te wissen en detectie te omzeilen.
De banden van de campagne met China komen voort uit de Chinese oorsprong van Gh0st RAT en het feit dat de volledig functionele achterdeur door de jaren heen op grote schaal is overgenomen door Chinese dreigingsactoren, deels gedreven door de vrijgave van de broncode in 2008. Een ander bewijsmateriaal is de gebruik van Chinese namen in het veld “laatst gewijzigd door” in de metadata van de lokbestanden.
“De Gh0st RAT-malware is een steunpilaar in het arsenaal van de Chinese dreigingsactoren en is actief sinds minstens 2008”, aldus de onderzoekers.
“Chinese actoren hebben ook een geschiedenis van aanvallen op Oezbekistan. De doelwitten van het Oezbekistaanse Ministerie van Buitenlandse Zaken sluiten ook aan bij de reikwijdte van de Chinese inlichtingenactiviteiten in het buitenland.”
Deze ontwikkeling komt omdat Chinese door de staat gesponsorde groepen zich de afgelopen zes maanden ook steeds meer op Taiwan hebben gericht, waarbij de aanvallers residentiële routers hebben herbestemd om hun indringers te maskeren, aldus Google.
