Una nueva campaña maliciosa emplea SugarGh0st RAT apuntará a agencias gubernamentales. Los artefactos en los documentos señuelo insinúan la existencia de un posible actor de habla china.
SugarGh0st utiliza Spear Phishing para atacar a los gobiernos
Los investigadores han descubierto una nueva ola de amenazas cibernéticas apuntando a entidades gubernamentales en Uzbekistán y Corea del Sur en recientes desarrollos de ciberseguridad. Utilizando una variante personalizada del infame Gh0st RAT, apodado SugarGh0st, La campaña muestra una cadena de infección sofisticada y de varias etapas..
Los objetivos se centraron en personal del ministerio de relaciones exteriores basado en señuelos sobre proyectos de inversión, Credenciales de cuenta, y notas internas. Estos temas fueron seleccionados como likely to entice victims para habilitar el malware sin saberlo mientras visualizaba lo que parecían documentos de trabajo legítimos. En general, La elección de los objetivos apunta a la relación de los amos de SugarGh0st con el gobierno chino..
Cadena de infección de varias etapas
Una vez entregado a través de correos electrónicos, Los documentos maliciosos desencadenan un proceso de varias etapas para instalar SugarGh0st en los sistemas. Se realiza usando JavaScript y archivos de acceso directo ejecute comandos para soltar el ejecutable RAT, descifrarlo, y activar la funcionalidad completa en segundo plano. Técnicas como Binarios LotL, DLL de carga lateral, y abusar de utilidades legítimas de Windows ayudar a enmascarar el despliegue de las defensas y la detección de usuarios. Dirigido a redes de cancillería, La seguridad operativa muestra a un adversario que perfecciona cuidadosamente su habilidad antes de atacar agencias sensibles..
Después de la instalación, SugarGh0st ofrece monitoreo avanzado, exfiltración, y capacidades de manipulación. Esto supera al malware típico en operaciones de ciberdelito de productos básicos.. Las funciones permiten grabar pulsaciones de teclas, activando cámaras web, ejecutando archivos, o procesos de matanza – todo dirigido dinámicamente por comandos del atacante. Un acceso tan completo pone en riesgo la integridad de las agencias gubernamentales infectadas a través del espionaje interno sin restricciones..
Dependiendo de las prácticas de seguridad operativa, El movimiento lateral también podría poner en peligro departamentos y redes ministeriales más completos.. Si bien evaluar el daño total sigue siendo un desafío, las implicaciones son claramente graves. Además, esto tiene permitió que secretos robados impactaran los asuntos o relaciones internacionales.
Una variante de Gh0st RAT y una posible conexión china
Si bien la atribución sigue siendo especulativa, Los artefactos en los documentos señuelo insinúan un posible actor de habla china.. Dos expedientes dentro de la campaña contienen caracteres chinos en su «ultima modificacion por» nombres, sugiriendo una conexión lingüística con China. Como el nombre sugiere, SugarGh0st representa una evolución de las variantes Gh0st RAT existentes vinculadas a China en circulación desde hace más 15 años. Desarrollado por el grupo chino Red Wolf Group (Equipo de seguridad de C.Rufus), Gh0st RAT ha estado activo desde 2008.
SugarGh0st conserva las funcionalidades principales de su predecesor pero Cuenta con capacidades de reconocimiento personalizadas y un protocolo de comunicación modificado.. El malware otorgó a los actores de amenazas control remoto total para saquear datos confidenciales de las redes infectadas.. Las mejoras incluyen:
- tácticas antidetección ampliadas
- Comandos de reconocimiento diseñados para recolectar documentos y credenciales.
- Nuevas comunicaciones que disfrazan los servidores C2 como dominios de Google Drive.
Ataques a entidades gubernamentales, particularmente embajadas y ministerios, no es un fenómeno nuevo. Los países se espiaban unos a otros todo el tiempo., Y las herramientas eran la única diferencia.. Mientras que otros países no exponen su software, Los piratas informáticos patrocinados por el gobierno asiático no parecen avergonzarse de su software. Y los hackers chinos y norcoreanos parecen estar entre los más públicos..