Uma nova campanha maliciosa emprega SugarGh0st RAT terá como alvo agências governamentais. Artefatos nos documentos falsos sugerem um potencial ator de língua chinesa.
SugarGh0st usa spear phishing para atacar governos
Pesquisadores descobriram uma nova onda de ameaças cibernéticas visando entidades governamentais no Uzbequistão e na Coreia do Sul em desenvolvimentos recentes de segurança cibernética. Utilizando uma variante personalizada do infame Gh0st RAT, apelidado de SugarGh0st, a campanha exibe uma cadeia de infecção sofisticada e em vários estágios.
As metas estavam focadas pessoal do Ministério das Relações Exteriores com base em iscas sobre projetos de investimento, credenciais da conta, e memorandos internos. Esses temas foram selecionados como likely to entice victims para ativar o malware sem saber enquanto visualiza o que pareciam ser documentos de trabalho legítimos. Geral, a escolha dos alvos aponta para a relação dos mestres do SugarGh0st com o governo chinês.
Cadeia de infecção em vários estágios
Uma vez entregue por e-mail, os documentos maliciosos acionam um processo de vários estágios para instalar o SugarGh0st nos sistemas. usando JavaScript e arquivos de atalho, execute comandos para descartar o executável RAT, descriptografá-lo, e ative todas as funcionalidades em segundo plano. Técnicas como Binários LotL, DLLs de carregamento lateral, e abusar de utilitários legítimos do Windows ajudar a mascarar a implantação de defesas e detecção de usuários. Destinado a redes do Ministério das Relações Exteriores, a segurança operacional mostra um adversário aprimorando cuidadosamente sua habilidade antes de atacar agências sensíveis.
Após a instalação, SugarGh0st oferece monitoramento avançado, exfiltração, e capacidades de manipulação. Isso supera o malware típico em operações de crimes cibernéticos de commodities. Funções permitem gravação de teclas digitadas, ativando webcams, executando arquivos, ou matar processos – tudo direcionado dinamicamente por comandos do invasor. Esse acesso abrangente coloca em risco a integridade das agências governamentais infectadas através de espionagem interna irrestrita.
Dependendo das práticas de segurança operacional, o movimento lateral também pode comprometer departamentos e redes ministeriais mais abrangentes. Embora a avaliação do dano total continue a ser um desafio, as implicações são claramente graves. Além disso, Este tem permitiu que segredos roubados impactassem assuntos ou relações internacionais.
Uma variante Gh0st RAT e potencial conexão chinesa
Embora a atribuição permaneça especulativa, artefatos nos documentos chamariz sugerem um potencial ator de língua chinesa. Dois arquivos dentro da campanha contêm caracteres chineses em seus “modificado pela última vez por” nomes, sugerindo uma conexão linguística com a China. Como o nome sugere, SugarGh0st representa uma evolução das variantes existentes do Gh0st RAT ligadas à China em circulação há mais 15 anos. Desenvolvido pelo grupo chinês Red Wolf Group (Equipe de segurança C.Rufus), Gh0st RAT está ativo desde 2008.
SugarGh0st mantém as principais funcionalidades de seu antecessor, mas apresenta capacidades de reconhecimento personalizadas e um protocolo de comunicação modificado. O malware concedeu aos agentes da ameaça controle remoto total para pilhar dados confidenciais de redes infectadas. As melhorias incluem:
- táticas anti-detecção expandidas
- comandos de reconhecimento adaptados para coletar documentos e credenciais
- novas comunicações disfarçando servidores C2 como domínios do Google Drive
Ataques a entidades governamentais, particularmente embaixadas e ministérios, não é um fenômeno novo. Países espionavam uns aos outros o tempo todo, e as ferramentas eram a única diferença. Embora outros países não exponham seus softwares, Hackers asiáticos patrocinados pelo governo parecem não ter vergonha de seu software. E os hackers chineses e norte-coreanos parecem estar entre os mais públicos.
