Home Ciberguerra Presuntos piratas informáticos chinos, apuntan al gobierno de Uzbekistán y a Corea...

Presuntos piratas informáticos chinos, apuntan al gobierno de Uzbekistán y a Corea del Sur

Se ha atribuido a un presunto actor de amenazas de habla china una campaña maliciosa dirigida al Ministerio de Asuntos Exteriores de Uzbekistán y a usuarios de Corea del Sur con un troyano de acceso remoto llamado SugarGh0st RAT.

La actividad, que comenzó a más tardar en agosto de 2023, aprovecha dos secuencias de infección diferentes para distribuir el malware, que es una variante personalizada de Gh0st RAT (también conocido como Farfli).

Viene con características para “facilitar las tareas de administración remota según las indicaciones del C2 y un protocolo de comunicación modificado basado en la similitud de la estructura de comando y las cadenas utilizadas en el código”, dijeron los investigadores de Cisco Talos Ashley Shen y Chetan Raghuprasad.

Los ataques comienzan con un correo electrónico de phishing que contiene documentos señuelo, cuya apertura activa un proceso de varias etapas que conduce al despliegue de SugarGh0st RAT.

Los documentos señuelo se incorporan dentro de un cuentagotas de JavaScript muy ofuscado que está contenido en un archivo de acceso directo de Windows incrustado en el archivo adjunto del correo electrónico RAR.

Luego, el documento señuelo se muestra a la víctima, mientras, en segundo plano, el script por lotes ejecuta el cargador de DLL, que, a su vez, lo carga lateralmente con una versión copiada de un ejecutable legítimo de Windows llamado rundll32.exe para descifrarlo e iniciarlo. la carga útil de SugarGh0st.

Una segunda variante del ataque también comienza con un archivo RAR que contiene un archivo de acceso directo de Windows malicioso que se hace pasar por un señuelo, con la diferencia de que JavaScript aprovecha DynamicWrapperX para ejecutar el código shell que inicia SugarGh0st.

SugarGh0st, una biblioteca de vínculos dinámicos (DLL) de 32 bits escrita en C++, establece contacto con un dominio de comando y control (C2) codificado, lo que le permite transmitir metadatos del sistema al servidor, iniciar un shell inverso y ejecutar comandos arbitrarios.

También puede enumerar y finalizar procesos, tomar capturas de pantalla, realizar operaciones con archivos e incluso borrar los registros de eventos de la máquina en un intento de cubrir sus huellas y evadir la detección.

Los vínculos de la campaña con China se derivan de los orígenes chinos de Gh0st RAT y del hecho de que los actores de amenazas chinos han adoptado ampliamente la puerta trasera completamente funcional a lo largo de los años, en parte impulsado por la publicación de su código fuente en 2008. Otra evidencia irrefutable es la uso de nombres chinos en el campo “última modificación por” en los metadatos de los archivos señuelo.

El desarrollo se produce cuando grupos patrocinados por el estado chino también han atacado cada vez más a Taiwán en los últimos seis meses, y los atacantes reutilizaron enrutadores residenciales para enmascarar sus intrusiones, según Google.