Κινέζοι hackers, με την κωδική ονομασία SneakyChef, έχουν συνδεθεί με μια εκστρατεία κατασκοπείας που στοχεύει κυρίως κυβερνητικές οντότητες στην Ασία και την περιοχή EMEA (Ευρώπη, Μέση Ανατολή και Αφρική) και διανέμει τα SpiceRAT και SugarGh0st malware.
“H SneakyChef χρησιμοποιεί ως δολώματα κάποια έγγραφα κυβερνητικών υπηρεσιών. Τα περισσότερα σχετίζονται με Υπουργεία Εξωτερικών ή πρεσβείες διαφόρων χωρών“, δήλωσαν οι ερευνητές της Cisco Talos, Chetan Raghuprasad και Ashley Shen.
Οι δραστηριότητες αυτής της ομάδας επισημάνθηκαν για πρώτη φορά από την εταιρεία κυβερνοασφάλειας στα τέλη Νοεμβρίου 2023. Οι αναλυτές είχαν εντοπίσει μια εκστρατεία που μόλυνε συστήματα με μια custom παραλλαγή του Gh0st RAT, που ονομάζεται SugarGh0st.
Δείτε επίσης: Το NiceRAT malware στοχεύει χρήστες μέσω cracked software
Μια πιο πρόσφατη ανάλυση από την Proofpoint αποκάλυψε τη χρήση του SugarGh0st malware εναντίον αμερικανικών οργανισμών που ασχολούνται με εργαλεία τεχνητής νοημοσύνης.
Η Talos είπε ότι έκτοτε έχει παρατηρήσει το ίδιο κακόβουλο λογισμικό να στοχεύει διάφορες κυβερνητικές οντότητες σε όλη την Αγκόλα, την Ινδία, τη Λετονία, τη Σαουδική Αραβία και το Τουρκμενιστάν.
Μέχρι τώρα, το SugarGh0st malware παραδιδόταν μέσω Windows Shortcut (LNK) files ενσωματωμένων σε αρχεία RAR. Στις πιο πρόσφατες επιθέσεις, όμως, παρατηρήθηκε ένα self-extracting RAR archive (SFX), ως αρχικός φορέας μόλυνσης, για την εκκίνηση ενός Visual Βασικό Script (VBS) που τελικά εκτελεί το κακόβουλο λογισμικό μέσω ενός loader ενώ ταυτόχρονα εμφανίζει το αρχείο δόλωμα.
Στις επιθέσεις κατά της Αγκόλας παρατηρήθηκε, επίσης, και το νέο trojan απομακρυσμένης πρόσβασης με την κωδική ονομασία SpiceRAT.
Το SpiceRAT διανέμεται μέσω δύο διαφορετικών αλυσίδων μόλυνσης. Η μία χρησιμοποιεί ένα αρχείο LNK που υπάρχει μέσα σε ένα αρχείο RAR. Αυτό αναπτύσσει το κακόβουλο λογισμικό χρησιμοποιώντας τεχνικές DLL side-loading.
Δείτε επίσης: Το νέο Cross-Platform «Noodle RAT» Malware στοχεύει Windows και Linux
“Όταν το θύμα εξάγει το αρχείο RAR, εγκαθιστά το LNK και έναν κρυφό φάκελο στον υπολογιστή του“, είπαν οι ερευνητές. “Αφού το θύμα ανοίξει το shortcut file, το οποίο εμφανίζεται σαν έγγραφο PDF, εκτελεί μια ενσωματωμένη εντολή για να εκτελέσει το κακόβουλο εκτελέσιμο από τον κρυφό φάκελο“.
Στη συνέχεια, εμφανίζεται ένα έγγραφο δόλωμα στο θύμα και εκτελείται ένα νόμιμο binary (“dxcap.exe”), το οποίο φορτώνει ένα κακόβουλο DLL, υπεύθυνο για τη φόρτωση του SpiceRAT malware.
Στη δεύτερη μέθοδο μόλυνσης, χρησιμοποιείται ένα HTML Application (HTA) που εγκαθιστά ένα Windows batch script και ένα Base64-encoded downloader binary, με το πρώτο να εκκινεί το εκτελέσιμο αρχείο μέσω ενός scheduled task κάθε πέντε λεπτά.
Το batch script έχει επίσης σχεδιαστεί για να εκτελεί ένα άλλο νόμιμο εκτελέσιμο “ChromeDriver.exe” κάθε 10 λεπτά, το οποίο στη συνέχεια φορτώνει ένα DLL που, με τη σειρά του, φορτώνει το SpiceRAT.
Δείτε επίσης: Το ValleyRAT malware επανεμφανίζεται με νέες τακτικές για κλοπή δεδομένων
Η εμφάνιση νέων hacking ομάδων όπως, η SneakyChef, υπογραμμίζει τη συνεχώς εξελισσόμενη φύση των απειλών για την ασφάλεια στον κυβερνοχώρο και την ανάγκη για συνεχή επαγρύπνηση και προληπτικά μέτρα για την προστασία από αυτές. Καθώς οι εγκληματίες του κυβερνοχώρου συνεχίζουν να αναπτύσσουν νέες τεχνικές και εργαλεία, είναι σημαντικό για τους οργανισμούς να ενημερώνονται και να υιοθετούν ισχυρά μέτρα ασφαλείας για την προστασία των ευαίσθητων δεδομένων και των περιουσιακών τους στοιχείων. Είναι σημαντικό για τις κυβερνήσεις, τις εταιρείες και τα άτομα να επενδύσουν σε πρακτικές και τεχνολογίες κυβερνοασφάλειας που μπορούν να βοηθήσουν στον μετριασμό των κινδύνων που ενέχουν τέτοιοι παράγοντες απειλής.
Πηγή: thehackernews.com
