Πιστεύεται ότι μια κινεζική hacking ομάδα βρίσκεται πίσω από μια κακόβουλη καμπάνια που στοχεύει το Υπουργείο Εξωτερικών του Ουζμπεκιστάν και τους χρήστες της Νότιας Κορέας με ένα trojan απομακρυσμένης πρόσβασης, που ονομάζεται SugarGh0st RAT.
Η καμπάνια ξεκίνησε τον Αύγουστο του 2023 με δύο διαφορετικές ακολουθίες μόλυνσης για την παράδοση του SugarGh0st, που είναι μια προσαρμοσμένη παραλλαγή του Gh0st RAT (γνωστός και ως Farfli).
Σύμφωνα με ερευνητές της Cisco Talos, το malware διαθέτει χαρακτηριστικά που “διευκολύνουν τις εργασίες απομακρυσμένης διαχείρισης, σύμφωνα με τις οδηγίες του C2“.
Δείτε επίσης: FjordPhantom: Το Android malware χρησιμοποιεί εικονικοποίηση για να αποφύγει την ανίχνευση
Οι επιθέσεις ξεκινούν με ένα phishing email που φέρει κακόβουλα έγγραφα. Ανοίγοντας το έγγραφο, ξεκινά μια διαδικασία πολλαπλών σταδίων που οδηγεί στην ανάπτυξη του SugarGh0st RAT.
Το έγγραφο-δόλωμα ενσωματώνεται σε ένα πολύ obfuscated JavaScript dropper που περιέχεται σε ένα Windows Shortcut file, που είναι ενσωματωμένο στο RAR archive email attachment.
“Το JavaScript αποκωδικοποιεί και εγκαθιστά τα ενσωματωμένα αρχεία στον φάκελο %TEMP%, συμπεριλαμβανομένου ενός batch script, ενός προσαρμοσμένου DLL loader, ενός κρυπτογραφημένου SugarGh0st payload και ενός ψεύτικου εγγράφου“, είπαν οι ερευνητές.
Το έγγραφο δόλωμα εμφανίζεται στη συνέχεια στο θύμα, ενώ, στο παρασκήνιο, το batch script εκτελεί το DLL loader, το οποίο, με τη σειρά του, το φορτώνει με μια αντιγραμμένη έκδοση ενός νόμιμου Windows executable rundll32.exe για αποκρυπτογράφηση και εκκίνηση του SugarGh0st.
Δείτε επίσης: Τεχνητή νοημοσύνη (AI ): Εξαιρετικά αποτελεσματική στην ανάλυση malware
Μια δεύτερη παραλλαγή της επίθεσης ξεκινά επίσης με ένα αρχείο RAR που περιέχει ένα κακόβουλο Windows Shortcut file. Η διαφορά είναι ότι το JavaScript αξιοποιεί το DynamicWrapperX για να εκτελέσει τον κώδικα shellcode που εκκινεί το SugarGh0st.
Το SugarGh0st, που είναι γραμμένο σε C++, δημιουργεί επαφή με ένα hard-coded command-and-control (C2) domain, επιτρέποντάς του να μεταδίδει system metadata στον server, να εκκινεί ένα reverse shell και να εκτελεί εντολές.
Μπορεί επίσης να τερματίσει διεργασίες, να τραβήξει στιγμιότυπα οθόνης, να εκτελέσει λειτουργίες αρχείων και να διαγράψει τα αρχεία καταγραφής συμβάντων του μηχανήματος.
Οι ερευνητές πιστεύουν ότι αυτή η κακόβουλη καμπάνια μπορεί να συνδέεται με Κινέζους hackers λόγω τις κινεζικής προέλευσης του αρχικού Gh0st RAT. Μια άλλη απόδειξη είναι η χρήση κινεζικών ονομάτων στο πεδίο “last modified by” στα metadata των αρχείων-δολωμάτων.
Δείτε επίσης: GoTitan botnet, PrCtrl RAT και άλλα malware εκμεταλλεύονται Apache bug
Επιπλέον, οι Κινέζοι hackers έχουν ιστορία στη στόχευση του Ουζμπεκιστάν.
Προστασία έναντι RAT malware
Για την προστασία από rat malware πρέπει να λάβετε κάποια βασικά μέτρα ασφαλείας:
Πρώτον, είναι σημαντικό να εγκαταστήσετε ένα αξιόπιστο και ενημερωμένο λογισμικό antivirus. Αυτό θα σας βοηθήσει να ανιχνεύσετε και να αφαιρέσετε το rat malware από το σύστημά σας.
Δεύτερον, πρέπει να είστε προσεκτικοί με τα email και τα συνημμένα αρχεία που λαμβάνετε. Μην ανοίγετε ανεπιθύμητα email ή συνημμένα αρχεία από άγνωστους αποστολείς, καθώς μπορεί να περιέχουν rat malware.
Τρίτον, ενημερώνετε τακτικά το λειτουργικό σύστημά σας και το λογισμικό σας. Οι ενημερώσεις περιέχουν συχνά βελτιώσεις ασφάλειας που μπορούν να προστατεύσουν το σύστημά σας από το rat malware.
Τέλος, πρέπει να εφαρμόζετε ισχυρούς κωδικούς πρόσβασης και να αποφεύγετε τη χρήση των ίδιων κωδικών για πολλαπλούς λογαριασμούς. Αυτό θα δυσκολέψει τους κακόβουλους χρήστες να αποκτήσουν πρόσβαση στο σύστημά σας και να εγκαταστήσουν rat malware.
Πηγή: thehackernews.com
