Подозреваемый в угрозе участник, говорящий на китайском языке, был причастен к вредоносной кампании, нацеленной на Министерство иностранных дел Узбекистана и южнокорейских пользователей с помощью троянца удаленного доступа под названием SugarGh0st RAT.
Активность, которая началась не позднее августа 2023 года, использует две различные последовательности заражения для доставки вредоносного ПО, представляющего собой индивидуальный вариант Gh0st RAT (он же Farfli).
Он поставляется с функциями для "облегчения задач удаленного администрирования в соответствии с указаниями C2 и модифицированным протоколом связи, основанным на сходстве структуры команд и строк, используемых в коде", - сказали исследователи Cisco Talos Эшли Шен и Четан Рагхупрасад.
Атаки начинаются с фишингового электронного письма, содержащего документы-приманки, открытие которых активирует многоступенчатый процесс, приводящий к развертыванию SugarGh0st RAT.
Документы-приманки включены в сильно запутанный JavaScript-дроппер, который содержится в файле быстрого доступа Windows, встроенном во вложение электронной почты из архива RAR.
"JavaScript декодирует и удаляет встроенные файлы в папку %TEMP%, включая пакетный скрипт, настроенный загрузчик DLL, зашифрованную полезную нагрузку SugarGh0st и документ-приманку", - сказали исследователи.
Затем жертве отображается документ-приманка, в то время как в фоновом режиме пакетный скрипт запускает загрузчик DLL, который, в свою очередь, загружает его скопированной версией законного исполняемого файла Windows под названием rundll32.exe расшифровать и запустить полезную нагрузку SugarGh0st.
Второй вариант атаки также начинается с архива RAR, содержащего вредоносный файл быстрого доступа Windows, который маскируется под приманку, с той разницей, что JavaScript использует DynamicWrapperX для запуска шелл-кода, запускающего SugarGh0st.
SugarGh0st, 32-разрядная библиотека динамических ссылок (DLL), написанная на C ++, устанавливает контакт с жестко запрограммированным командно-управляющим доменом (C2), позволяя ему передавать системные метаданные на сервер, запускать обратную оболочку и выполнять произвольные команды.
Он также может перечислять и завершать процессы, делать скриншоты, выполнять файловые операции и даже очищать журналы событий компьютера в попытке замести следы и избежать обнаружения.
Связи кампании с Китаем проистекают из китайского происхождения Gh0st RAT и того факта, что полнофункциональный бэкдор был широко принят китайскими агентами по борьбе с угрозами на протяжении многих лет, отчасти благодаря выпуску его исходного кода в 2008 году. Еще одним неопровержимым доказательством является использование китайских имен в поле "последнее изменение" в метаданных файлов-приманки.
"Вредоносная программа Gh0st RAT является основой в арсенале китайских злоумышленников и активна как минимум с 2008 года", - говорят исследователи.
"Китайские субъекты также имеют историю нападений на Узбекистан. Нападение на Министерство иностранных дел Узбекистана также соответствует масштабам деятельности китайской разведки за рубежом".
Развитие событий происходит по мере того, как китайские группы, спонсируемые государством, также все чаще нацеливаются на Тайвань в последние шесть месяцев, при этом злоумышленники перепрофилируют бытовые маршрутизаторы для маскировки своих вторжений, согласно Google.
