SneakyChef: Στοχεύει κυβερνητικές οντότητες με το SugarGh0st malware
Ένας παράγοντας απειλής, με την ονομασία SneakyChef, διεξάγει μια κατασκοπευτική εκστρατεία που στοχεύει κυρίως κυβερνητικούς οργανισμούς στην Ασία, την Ευρώπη, τη Μέση Ανατολή και την Αφρική (EMEA).
Η απειλή δραστηριοποιείται τουλάχιστον από τον Αύγουστο του 2023, χρησιμοποιώντας το κακόβουλο λογισμικό (malware) SugarGh0st.
Οι ερευνητές της Cisco Talos εντόπισαν κακόβουλα έγγραφα του SneakyChef, στα οποία φαίνεται να συμπεριλαμβάνονται κυβερνητικά έγγραφα, τα οποία συνδέονται με Υπουργεία Εξωτερικών Υποθέσεων ή πρεσβείες.
Οι δραστηριότητες της ομάδας παρατηρήθηκαν για πρώτη φορά τον Νοέμβριο του 2023 και στόχευαν τη Νότια Κορέα και το Ουζμπεκιστάν με μια παραλλαγή του Gh0st RAT που, όπως προαναφέρθηκε, ονομάζεται SugarGh0st. Αργότερα, η Proofpoint ανακάλυψε, ότι η εκστρατεία SugarGh0st χρησιμοποιείται για επιθέσεις σε οργανισμούς των Η.Π.Α. που ασχολούνται με την τεχνητή νοημοσύνη, συμπεριλαμβανομένων ακαδημαϊκών, ιδιωτικών βιομηχανιών και κυβερνητικών υπηρεσιών.
Περαιτέρω έρευνες από την Talos αποκάλυψαν ότι το ίδιο κακόβουλο λογισμικό χρησιμοποιείται για να στοχεύει κυβερνητικούς οργανισμούς στην Αγκόλα, την Ινδία, τη Λετονία, τη Σαουδική Αραβία και το Τουρκμενιστάν, υποδεικνύοντας την τεράστια εμβέλεια των επιθέσεων.
Οι τεχνικές επίθεσης του SneakyChef περιλαμβάνουν τη χρήση αρχείων Windows Shortcut (LNK) που βρίσκονται ενσωματωμένα σε αρχεία RAR και αρχεία RAR (SFX), τα οποία εξάγονται αυτόματα και εκκινούν Visual Basic Scripts (VBS) για την εκτέλεση του κακόβουλου λογισμικού, παρόλο που αρχικά φαίνονται ως αθώα αρχεία.
Επιπλέον, οι επιθέσεις στην Αγκόλα έχουν εισάγει ένα νέο κακόβουλο λογισμικό απομακρυσμένης πρόσβασης που ονομάζεται SpiceRAT, χρησιμοποιώντας δολώματα από τη ρωσόφωνη εφημερίδα Neytralny Turkmenistan.
Το SpiceRAT χρησιμοποιεί δύο μεθόδους: η μία περιλαμβάνει αρχεία LNK μέσα σε αρχεία RAR και φόρτωση DLL μέσω side-loading, ενώ η άλλη περιλαμβάνει εφαρμογές HTML (HTA) που εγκαθιστούν batch scripts και δυαδικά αρχεία λήψης. Το SpiceRAT αυξάνει περαιτέρω την επιφάνεια επίθεσης επιτρέποντας την εκτέλεση αυθαίρετων εντολών, οδηγώντας έτσι σε ακόμα πιο εκτεταμένες διαδικτυακές επιθέσεις.
