SugarGh0st RAT este o nouă variantă personalizată a Gh0st RAT, un troian care este activ de peste un deceniu, având comenzi personalizate pentru a facilita sarcinile de administrare la distanță, după cum este indicat de serverul de comandă la care se conectează.
Originea și Evoluția Gh0st RAT
Gh0st RAT a fost dezvoltat de un grup chinez numit Rufus Security Team, iar codul său sursă a fost făcut public în 2008. Publicarea codului sursă a facilitat accesul actorilor de amenințare la acesta și adaptarea pentru a-și îndeplini intențiile malefice. Există mai multe variante ale Gh0st RAT în peisajul amenințărilor, rămânând o unealtă preferată pentru mulți actori de vorbire chineză, permițându-le să efectueze atacuri de supraveghere și spionaj.
Comparativ cu malware-ul Gh0st original, SugarGh0st este dotat cu caracteristici personalizate în capacitatea sa de recunoaștere în căutarea cheilor de registru Open Database Connectivity (ODBC) specifice, încărcarea fișierelor de bibliotecă cu extensii de fișiere și nume de funcții specifice, comenzi personalizate pentru a facilita sarcinile de administrare la distanță dictate de C2 și pentru a evita detectările anterioare.
Modul de operare al atacului
Atacul debutează printr-un e-mail de phishing conținând documente, care, odată deschise, declanșează un proces în mai multe etape ce culminează cu implementarea SugarGh0st RAT. Documentele sunt ascunse într-un script JavaScript obfuscat, inclus într-un fișier Windows Shortcut, parte a atașamentului RAR al e-mailului.
JavaScript decodează și plasează fișierele în folderul %TEMP%, inclusiv un script batch, un încărcător DLL personalizat, un payload SugarGh0st criptat și un document atrăgător. În timp ce documentul atrăgător este afișat victimei, scriptul batch rulează încărcătorul DLL, care îl încarcă cu o versiune copiată a unui executabil Windows legitim, numit rundll32.exe, pentru a lansa payload-ul SugarGh0st.
Există și o a doua variantă a atacului, care începe cu un fișier RAR conținând un Windows Shortcut malefic, folosind DynamicWrapperX pentru a executa codul shell ce lansează SugarGh0st.
SugarGh0st, un malware scris în C++, se conectează la un domeniu de comandă și control (C2), permițând transmiterea metadatelor sistemului și executarea comenzilor arbitrare. Are capacitatea de a enumera și termina procese, realiza capturi de ecran, efectua operații pe fișiere și șterge jurnalele de evenimente ale mașinii pentru a evita detectarea.
Originea malware-ului
Originea chineză a Gh0st RAT și utilizarea sa extinsă de actorii de amenințare chinezi au pus în legătură această campanie cu China. De asemenea, folosirea unor nume chinezești în metadatele fișierelor confirmă această conexiune. Malware-ul Gh0st RAT este prezent în arsenalul actorilor chinezi de amenințare de cel puțin 2008, iar istoricul de atacuri asupra Uzbekistanului se aliniază cu activitatea de informații chineze în străinătate.
Specialiștii în securitate cibernetică pot accesa o analiză detaliată a descoperirilor Cisco Talos aici, iar o listă de indicatori de compromis asociată cu SugarGh0st poate fi găsită și pe platforma de codificare a software-ului GitHub.
Campania țintelor: atacuri cu specificitate ridicată
Obiectivele campaniei, printre care se numără Ministerul Afacerilor Externe din Uzbekistan și entități din Coreea de Sud, sugerează un grad înalt de specificitate și intenție. Documentele din e-mailurile de phsihing sunt legate de decrete prezidențiale sau notificări de securitate ale conturilor Microsoft sunt printre instrumentele folosite pentru a atrage victime, indicând o înțelegere a demografiei țintă.
Apariția lui SugarGh0st ca un instrument puternic de spionaj cibernetic are consecințe pentru securitatea națională și protecția datelor corporative. În acest sens, entitățile sunt îndemnate să adopte soluții complete de securitate, precum utilizarea de VPN-uri, implementarea de firewall-uri, adoptarea soluțiilor EDR, XDR sau Secure Email. În același timp, subliniem importanța instruirii continue a personalului, pentru a dezvolta abilitățile angajaților de a identifica posibile atacuri și tactici de fraudare.