Daha önce belgelenmemiş Çince konuşan bir tehdit aktörünün kod adı SneakyChef en az Ağustos 2023’ten bu yana SugarGh0st kötü amaçlı yazılımını kullanarak öncelikle Asya ve EMEA (Avrupa, Orta Doğu ve Afrika) genelindeki devlet kuruluşlarını hedef alan bir casusluk kampanyasıyla bağlantılıdır.
Cisco Talos araştırmacıları Chetan Raghuprasad ve Ashley Shen, bugün yayınlanan bir analizde “SneakyChef, çoğu çeşitli ülkelerin Dışişleri Bakanlıkları veya elçilikleriyle ilgili olan devlet kurumlarının taranmış belgeleri olan yemleri kullanıyor.” dedi.
Bilgisayar korsanlığı ekibiyle ilgili faaliyetler ilk olarak siber güvenlik şirketi tarafından Kasım 2023’ün sonlarında Gh0st RAT adlı özel bir türevle Güney Kore ve Özbekistan’ı hedef alan bir saldırı kampanyasıyla bağlantılı olarak vurgulandı. SugarGh0st.
Geçtiğimiz ay Proofpoint tarafından yapılan bir analiz, SugarGh0st RAT’ın akademi, özel sektör ve devlet hizmetlerinde olanlar da dahil olmak üzere yapay zeka çalışmalarında yer alan ABD kuruluşlarına karşı kullanıldığını ortaya çıkardı. Kümeyi UNK_SweetSpecter adı altında izliyor.
Talos, hedef odaklı kimlik avı kampanyalarında kullanılan yem belgelerine dayanarak aynı kötü amaçlı yazılımın muhtemelen Angola, Hindistan, Letonya, Suudi Arabistan ve Türkmenistan’daki çeşitli devlet kurumlarına odaklanmak için kullanıldığını gözlemlediğini ve bunun da kapsamın genişlediğini gösterdiğini söyledi. hedeflenen ülkeler arasında yer alıyor.
SugarGh0st’i sunmak için RAR arşivlerine gömülü Windows Kısayol (LNK) dosyalarından yararlanan saldırı zincirlerinden yararlanmanın yanı sıra, yeni dalganın, Visual Gh0st’i başlatmak için ilk enfeksiyon vektörü olarak kendi kendine açılan bir RAR arşivini (SFX) kullandığı tespit edildi Temel Komut Dosyası (VBS), sonuçta kötü amaçlı yazılımı bir yükleyici aracılığıyla yürütürken aynı zamanda sahte dosyayı görüntüler.
Angola’ya yönelik saldırılar, aynı zamanda Türkmenistan’da Rusça yayınlanan Neytralny Türkmenistan gazetesinin tuzaklarını kullanarak SpiceRAT kod adlı yeni bir uzaktan erişim trojanını kullanması açısından da dikkat çekicidir.
SpiceRAT, yayılma için iki farklı enfeksiyon zinciri kullanıyor; bunlardan biri, kötü amaçlı yazılımı DLL yandan yükleme tekniklerini kullanarak dağıtan bir RAR arşivi içinde bulunan bir LNK dosyasını kullanıyor.
Araştırmacılar, “Kurban RAR dosyasını çıkardığında LNK’yi ve gizli bir klasörü makinesine bırakıyor” dedi. “Kurban, PDF belgesi gibi görünen kısayol dosyasını açtıktan sonra, bırakılan gizli klasörden kötü amaçlı başlatıcının çalıştırılabilir dosyasını çalıştırmak için gömülü bir komut çalıştırıyor.”
Başlatıcı daha sonra sahte belgeyi kurbana göstermeye devam ediyor ve meşru bir ikili dosyayı (“dxcap.exe”) çalıştırıyor; bu ikili daha sonra SpiceRAT’ın yüklenmesinden sorumlu olan kötü amaçlı bir DLL dosyasını dışarıdan yüklüyor.
İkinci değişken, bir Windows toplu komut dosyasını ve Base64 kodlu bir indirici ikili dosyasını bırakan bir HTML Uygulamasının (HTA) kullanılmasını gerektirir; ilki, her beş dakikada bir zamanlanmış bir görev aracılığıyla yürütülebilir dosyayı başlatır.
Toplu komut dosyası ayrıca her 10 dakikada bir başka bir meşru yürütülebilir “ChromeDriver.exe” dosyasını çalıştıracak şekilde tasarlanmıştır; bu daha sonra sahte bir DLL dosyasını dışarıdan yükler ve bu da SpiceRAT’ı yükler. Bu bileşenlerin her biri (ChromeDriver.exe, DLL ve RAT yükü) uzak bir sunucudan indirici ikili programı tarafından alınan bir ZIP arşivinden çıkarılır.
SpiceRAT ayrıca, hata ayıklanıp ayıklanmadığını kontrol etmek için çalışan işlemlerin listesini yakalayan ve ardından ana modülü bellekten çalıştıran bir DLL yükleyiciyi başlatmak için DLL yandan yükleme tekniğinden de yararlanır.
Talos, “Yürütülebilir ikili dosyaları ve isteğe bağlı komutları indirme ve çalıştırma yeteneği ile SpiceRAT, kurbanın ağındaki saldırı yüzeyini önemli ölçüde artırarak daha sonraki saldırıların önünü açıyor” dedi.