Новости Международное недоверие нарастает: троянец SugarGh0st атакует МИД Узбекистана

NewsMaker

I'm just a script
Премиум
13,836
20
8 Ноя 2022
Написанный на C++ китайский вредонос обладает обширным спектром шпионских функций.


qdx9mcx1mol3hw19jpat541p6zjyzyfq.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся Cisco Talos, группа китаеязычных хакеров, осуществила злонамеренную кампанию, нацеленную на Министерство иностранных дел Узбекистана, а также на частные организации в Южной Корее.

Вредоносная операция стартовала ориентировочно в августе этого года и использовала троянца удалённого доступа ( RAT ) под названием SugarGh0st, модификации Для просмотра ссылки Войди или Зарегистрируйся Gh0st RAT.

Специалисты Talos обнаружили четыре образца, использованные в рамках этой кампании, нацеленные на пользователей в Узбекистане и Южной Корее, основываясь на языке документов о приманках, содержимом приманки и индикаторах распространения.

Один из выявленных образцов был отправлен в Министерство иностранных дел Узбекистана с приманкой, якобы дублирующей указ местного президента, направленный на совершенствование государственного управления в области технического регулирования. Три других образца распространялись в Южной Корее и были направлены на небольшие частные организации.


5rkfyij0v5tsoxltq5tuuvjjlvw9a5qx.png


Сама атака начиналась с фишингового письма, содержащего замаскированные документы, которые при открытии запускают многоступенчатый процесс, ведущий к развёртыванию SugarGh0st RAT. Вирус включает функции для «облегчения удалённого администрирования и изменённого протокола связи».

Во вложении к фишинговому письму замаскированные документы встроены в сильно обфусцированный JavaScript - дроппер , содержащийся в файле ярлыка Windows , упакованного в RAR-файл.

JavaScript расшифровывает и переносит вложенные файлы во временную папку, включая скрипт, пользовательский DLL - загрузчик и зашифрованную полезную нагрузку SugarGh0st.

Когда жертва открывает документ-обманку, в фоновом режиме запускается скрипт, который запускает DLL-загрузчик. Этот загрузчик в свою очередь использует копию легитимного исполняемого файла Windows, rundll32.exe, для расшифровки и запуска полезной нагрузки SugarGh0st.

SugarGh0st, написанный на C++, устанавливает связь с жёстко закодированным C2 -доменом, позволяя передавать метаданные системы на сервер, запускать обратную оболочку и выполнять произвольные команды. Он также может перечислять и завершать процессы, делать снимки экрана, выполнять операции с файлами и даже очищать журналы событий компьютера, пытаясь скрыть свои следы и избежать обнаружения.

Кампания была связана с Китаем из-за китайского происхождения оригинального Gh0st RAT и его широкого использования китайскими хакерами, особенно после публикации исходного кода в 2008 году. Другим подтверждением является использование китайских имён в поле «последнее изменение» метаданных выявленных в ходе атаки файлов.

Кроме того, было отмечено, что китайские киберпреступники также имеют историю целенаправленных атак на Узбекистан. За последние полгода китайские APT-группы также усилили свою активность против Тайваня, используя для маскировки своих вторжений домашние маршрутизаторы.
 
Источник новости
www.securitylab.ru

Похожие темы