自 2023 年 8 月起,一名代號為SneakyChef 的無證中文網路攻擊者與一項主要針對亞洲和 EMEA(歐洲、中東和非洲)政府實體的間諜活動有關,該活動使用 SugarGh0st 惡意軟體。思科 研究人員發布的分析中表示: SneakyChef 使用政府機構掃描文件作為誘餌,其中大部分與各國外交部或大使館有關,該網路安全公司於 2023 年 11 月下旬首次強調了與駭客團隊相關的活動,該活動與利用名為SugarGh0st的 Gh0st RAT 自訂變體針對韓國和烏茲別克斯坦的攻擊活動有關,從Proofpoint 上個月的後續分析發現,SugarGh0st RAT 被用於針對參與人工智慧工作的美國組織,包括學術界、私人企業和政府服務機構,它正在追蹤名為 UNK_SweetSpecter 的叢集。
現階段值得一提的是,SneakyChef 指的是 Palo Alto Networks Unit 42 代號為「外交幽靈行動」的相同活動,據安全供應商稱,該活動至少自 2022 年底以來一直在持續,襲擊了中東、非洲和亞洲的政府實體,根據魚叉式網路釣魚活動中使用的誘餌文件,該惡意軟體可能被用來針對安哥拉、印度、拉脫維亞、沙烏地阿拉伯和土庫曼斯坦的各個政府實體,這表明範圍正在擴大的目標國家,除了利用 RAR 檔案中嵌入的 Windows 捷徑 (LNK) 檔案的攻擊鏈來傳播 SugarGh0st 之外,新一波攻擊還被發現採用自解壓縮 RAR 檔案 (SFX) 作為初始感染媒介來啟動 Visual基本腳本(VBS)最終透過載入程式執行惡意軟體,同時顯示誘餌檔案。
針對安哥拉的攻擊也值得注意,因為它使用了代號為 SpiceRAT 的新型遠端訪問木馬,該木馬使用來自土庫曼斯坦俄語報紙 Neytralny Turkmenistan 的誘餌。SpiceRAT 則採用兩種不同的感染鏈進行傳播,其中一種使用 RAR 存檔中存在的 LNK 文件,該文件使用 DLL 側面加載技術部署惡意軟體。研究人員表示:“當受害者提取 RAR 文件時,它會將 LNK 和隱藏文件夾放入其計算機上,受害者打開偽裝成 PDF 文件的快捷方式文件後,它會執行嵌入命令來運行隱藏文件夾中的惡意啟動器可執行文件,啟動器則繼續向受害者顯示誘餌文件並運行合法的二進位(“dxcap.exe”),該二進位檔案隨後旁加載負責載入 SpiceRAT 的惡意 DLL,第二種變體需要使用 HTML 應用程式 (HTA),該應用程式會刪除 Windows 批次腳本和 Base64 編碼的下載程式二進位文件,前者透過排程任務每五分鐘啟動一次可執行檔,並於以下敘述整理了一些兩者的特點。
SpiceRAT 一種遠程管理工具:
可以竊取各種資料,包括鍵盤記錄、螢幕截圖、音頻錄製等
可以遠程控制受感染的電腦,執行各種命令
可以隱藏自身,躲避安全軟體的檢測
SugarGh0st 是一種後門程式:
可以竊取各種資料,包括檔案、電子郵件、密碼等
可以遠程控制受感染的電腦,執行各種命令
可以隱藏自身,躲避安全軟體的檢測
網路安全是一項永恆的課題。我們需要不斷提高安全意識,採取措施防範駭客攻擊 !
參考資料:
https://thehackernews.com/2024/06/chinese-hackers-deploy-spicerat-and.html