中國駭客在間諜活動中部署 SpiceRAT 和 SugarGh0st

  自 2023 年 8 月起，一名代號為SneakyChef 的無證中文網路攻擊者與一項主要針對亞洲和 EMEA（歐洲、中東和非洲）政府實體的間諜活動有關，該活動使用 SugarGh0st 惡意軟體。思科  研究人員發布的分析中表示： SneakyChef 使用政府機構掃描文件作為誘餌，其中大部分與各國外交部或大使館有關，該網路安全公司於 2023 年 11 月下旬首次強調了與駭客團隊相關的活動，該活動與利用名為SugarGh0st的 Gh0st RAT 自訂變體針對韓國和烏茲別克斯坦的攻擊活動有關，從Proofpoint 上個月的後續分析發現，SugarGh0st RAT 被用於針對參與人工智慧工作的美國組織，包括學術界、私人企業和政府服務機構，它正在追蹤名為 UNK_SweetSpecter 的叢集。   現階段值得一提的是，SneakyChef 指的是 Palo Alto Networks Unit 42 代號為「外交幽靈行動」的相同活動，據安全供應商稱，該活動至少自 2022 年底以來一直在持續，襲擊了中東、非洲和亞洲的政府實體，根據魚叉式網路釣魚活動中使用的誘餌文件，該惡意軟體可能被用來針對安哥拉、印度、拉脫維亞、沙烏地阿拉伯和土庫曼斯坦的各個政府實體，這表明範圍正在擴大的目標國家，除了利用 RAR 檔案中嵌入的 Windows 捷徑 (LNK) 檔案的攻擊鏈來傳播 SugarGh0st 之外，新一波攻擊還被發現採用自解壓縮 RAR 檔案 (SFX) 作為初始感染媒介來啟動 Visual基本腳本(VBS)最終透過載入程式執行惡意軟體，同時顯示誘餌檔案。   針對安哥拉的攻擊也值得注意，因為它使用了代號為 SpiceRAT 的新型遠端訪問木馬，該木馬使用來自土庫曼斯坦俄語報紙 Neytralny Turkmenistan 的誘餌。SpiceRAT 則採用兩種不同的感染鏈進行傳播，其中一種使用 RAR 存檔中存在的 LNK 文件，該文件使用 DLL 側面加載技術部署惡意軟體。研究人員表示：“當受害者提取 RAR 文件時，它會將 LNK 和隱藏文件夾放入其計算機上，受害者打開偽裝成 PDF 文件的快捷方式文件後，它會執行嵌入命令來運行隱藏文件夾中的惡意啟動器可執行文件，啟動器則繼續向受害者顯示誘餌文件並運行合法的二進位（“dxcap.exe”），該二進位檔案隨後旁加載負責載入 SpiceRAT 的惡意 DLL，第二種變體需要使用 HTML 應用程式 (HTA)，該應用程式會刪除 Windows 批次腳本和 Base64 編碼的下載程式二進位文件，前者透過排程任務每五分鐘啟動一次可執行檔，並於以下敘述整理了一些兩者的特點。 SpiceRAT 一種遠程管理工具： 可以竊取各種資料，包括鍵盤記錄、螢幕截圖、音頻錄製等 可以遠程控制受感染的電腦，執行各種命令 可以隱藏自身，躲避安全軟體的檢測   SugarGh0st 是一種後門程式： 可以竊取各種資料，包括檔案、電子郵件、密碼等 可以遠程控制受感染的電腦，執行各種命令 可以隱藏自身，躲避安全軟體的檢測   網路安全是一項永恆的課題。我們需要不斷提高安全意識，採取措施防範駭客攻擊 !   參考資料: https://thehackernews.com/2024/06/chinese-hackers-deploy-spicerat-and.html https://gemini.google.com/app/34c5be80e99cf594?hl=zh-TW