Hackers chinos usan SugarGh0st RAT para atacar a Corea del Sur y Uzbekistán

Un presunto actor de amenazas de habla china se ha atribuido a una campaña maliciosa dirigida al Ministerio de Asuntos Exteriores de Uzbekistán y a los usuarios de Corea del Sur con un troyano de acceso remoto llamado SugarGh0st RAT.

La actividad, que comenzó a más tardar en agosto de 2023, aprovecha dos secuencias de infección diferentes para entregar el malware, que es una variante personalizada de Gh0st RAT (también conocido como Farfli).

Viene con características para "facilitar las tareas de administración remota según lo indicado por el C2 y el protocolo de comunicación modificado basado en la similitud de la estructura de comandos y las cadenas utilizadas en el código", dijeron los investigadores de Cisco Talos, Ashley Shen y Chetan Raghuprasad.

Los ataques comienzan con un correo electrónico de phishing con documentos señuelo, cuya apertura activa un proceso de varias etapas que conduce a la implementación de SugarGh0st RAT.

Los documentos señuelo se incorporan dentro de un cuentagotas de JavaScript muy ofuscado que se encuentra dentro de un archivo de acceso directo de Windows incrustado en el archivo adjunto de correo electrónico RAR.

"El JavaScript decodifica y suelta los archivos incrustados en la carpeta %TEMP%, incluido un script por lotes, un cargador de DLL personalizado, una carga útil cifrada de SugarGh0st y un documento señuelo", dijeron los investigadores.

El documento señuelo se muestra a la víctima, mientras, en segundo plano, el script por lotes ejecuta el cargador de DLL, que, a su vez, lo carga lateralmente con una versión copiada de un ejecutable legítimo de Windows llamado rundll32.exe para descifrar y lanzar la carga útil SugarGh0st.

Una segunda variante del ataque también comienza con un archivo RAR que contiene un archivo malicioso de acceso directo de Windows que se hace pasar por un señuelo, con la diferencia de que JavaScript aprovecha DynamicWrapperX para ejecutar un shellcode que inicia SugarGh0st.

SugarGh0st, una biblioteca de enlaces dinámicos (DLL) de 32 bits escrita en C++, establece contacto con un dominio de comando y control (C2) codificado, lo que le permite transmitir metadatos del sistema al servidor, iniciar un shell inverso y ejecutar comandos arbitrarios.

También puede enumerar y finalizar procesos, tomar capturas de pantalla, realizar operaciones de archivos e incluso borrar los registros de eventos de la máquina en un intento de cubrir sus huellas y evadir la detección.

Los vínculos de la campaña con China se derivan de los orígenes chinos de Gh0st RAT y del hecho de que la puerta trasera completamente funcional ha sido ampliamente adoptada por los actores de amenazas chinos a lo largo de los años, en parte impulsada por la publicación de su código fuente en 2008. Otra prueba irrefutable es el uso de nombres chinos en el campo "última modificación por" en los metadatos de los archivos señuelo.

"El malware Gh0st RAT es un pilar en el arsenal de los actores de amenazas chinos y ha estado activo desde al menos 2008", dijeron los investigadores.

"Los actores chinos también tienen un historial de atacar a Uzbekistán. El ataque al Ministerio de Relaciones Exteriores de Uzbekistán también se alinea con el alcance de la actividad de inteligencia china en el extranjero".

El desarrollo se produce cuando los grupos patrocinados por el estado chino también han atacado cada vez más a Taiwán en los últimos seis meses, y los atacantes reutilizan enrutadores residenciales para enmascarar sus intrusiones, según Google.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta