Chinese hackers zetten SpiceRAT en SugarGh0st in in een wereldwijde spionagecampagne

Een voorheen ongedocumenteerde Chineessprekende dreigingsacteur met de codenaam SneakyChef is sinds augustus 2023 in verband gebracht met een spionagecampagne die zich met SugarGh0st-malware voornamelijk richt op overheidsinstanties in Azië en EMEA (Europa, het Midden-Oosten en Afrika).

“SneakyChef maakt gebruik van kunstaas die gescande documenten zijn van overheidsinstanties, waarvan de meeste gerelateerd zijn aan de ministeries van Buitenlandse Zaken of ambassades van verschillende landen”, zeiden Cisco Talos-onderzoekers Chetan Raghuprasad en Ashley Shen in een vandaag gepubliceerde analyse.

Activiteiten met betrekking tot de hackploeg werden eind november 2023 voor het eerst onder de aandacht gebracht door het cyberbeveiligingsbedrijf in verband met een aanvalscampagne waarbij Zuid-Korea en Oezbekistan werden uitgekozen met een aangepaste variant van Gh0st RAT genaamd SuikerGh0st.

Een daaropvolgende analyse van Proofpoint vorige maand bracht het gebruik van SugarGh0st RAT aan het licht tegen Amerikaanse organisaties die betrokken zijn bij inspanningen op het gebied van kunstmatige intelligentie, waaronder organisaties in de academische wereld, de particuliere sector en de overheidssector. Het volgt het cluster onder de naam UNK_SweetSpecter.

Talos zei dat het sindsdien heeft waargenomen dat dezelfde malware wordt gebruikt om zich waarschijnlijk te concentreren op verschillende overheidsinstanties in Angola, India, Letland, Saoedi-Arabië en Turkmenistan op basis van de lokdocumenten die zijn gebruikt in de spearphishing-campagnes, wat wijst op een verbreding van de reikwijdte. van de beoogde landen.

Naast het inzetten van aanvalsketens die gebruik maken van Windows Shortcut (LNK)-bestanden ingebed in RAR-archieven om SugarGh0st te leveren, is gebleken dat de nieuwe golf een zelfuitpakkend RAR-archief (SFX) gebruikt als een initiële infectievector om een ​​Visual Basic Script (VBS) dat uiteindelijk de malware uitvoert door middel van een loader en tegelijkertijd het lokbestand weergeeft.

Chinese hackers

De aanvallen op Angola zijn ook opmerkelijk vanwege het feit dat het land gebruik maakt van een nieuwe trojan voor toegang op afstand met de codenaam SpiceRAT, waarbij gebruik wordt gemaakt van kunstaas uit Neytralny Turkmenistan, een Russischtalige krant in Turkmenistan.

SpiceRAT maakt op zijn beurt gebruik van twee verschillende infectieketens voor de verspreiding, waarvan er één een LNK-bestand gebruikt dat aanwezig is in een RAR-archief dat de malware inzet met behulp van DLL-side-loading-technieken.

“Wanneer het slachtoffer het RAR-bestand uitpakt, worden de LNK en een verborgen map op hun computer neergezet”, aldus de onderzoekers. “Nadat een slachtoffer het snelkoppelingsbestand heeft geopend, dat zich voordeed als een PDF-document, voert het een ingebedde opdracht uit om het kwaadaardige opstartprogramma uit te voeren vanuit de neergezette verborgen map.”

De launcher gaat vervolgens verder met het weergeven van het lokdocument aan het slachtoffer en voert een legitiem binair bestand uit (“dxcap.exe”), dat vervolgens een kwaadaardige DLL sideloadt die verantwoordelijk is voor het laden van SpiceRAT.

De tweede variant omvat het gebruik van een HTML-applicatie (HTA) die een Windows-batchscript en een Base64-gecodeerde binaire downloader verwijdert, waarbij de eerste het uitvoerbare bestand elke vijf minuten start door middel van een geplande taak.

Chinese hackers

Het batchscript is ook ontworpen om elke 10 minuten een ander legitiem uitvoerbaar bestand “ChromeDriver.exe” uit te voeren, dat vervolgens een frauduleuze DLL sideloadt die op zijn beurt SpiceRAT laadt. Elk van deze componenten – ChromeDriver.exe, de DLL en de RAT-payload – wordt geëxtraheerd uit een ZIP-archief dat door de binaire downloader wordt opgehaald van een externe server.

SpiceRAT maakt ook gebruik van de DLL side-loading techniek om een ​​DLL-lader te starten, die de lijst met actieve processen vastlegt om te controleren of er fouten in zitten, gevolgd door het uitvoeren van de hoofdmodule vanuit het geheugen.

“Met de mogelijkheid om uitvoerbare binaire bestanden en willekeurige opdrachten te downloaden en uit te voeren, vergroot SpiceRAT het aanvalsoppervlak op het netwerk van het slachtoffer aanzienlijk, waardoor de weg wordt vrijgemaakt voor verdere aanvallen”, aldus Talos.

Thijs Van der Does