Çinli Hackerlar Güney Kore ve Özbekistan'ı Hedef Almak İçin SugarGh0st RAT Kullanıyor
Çince konuşan şüpheli bir tehdit aktörü, Özbekistan Dışişleri Bakanlığı'nı ve Güney Koreli kullanıcıları SugarGh0st RAT adlı bir uzaktan erişim truva atı ile hedef alan kötü niyetli bir kampanyaya atfedildi.
En geç Ağustos 2023'te başlayan etkinlik, Gh0st RAT'ın (diğer adıyla Farfli) özelleştirilmiş bir varyantı olan kötü amaçlı yazılımı dağıtmak için iki farklı enfeksiyon dizisinden yararlanıyor.
Cisco Talos araştırmacıları Ashley Shen ve Chetan Raghuprasad, "C2 tarafından yönlendirilen uzaktan yönetim görevlerini ve komut yapısının benzerliğine ve kodda kullanılan dizelere dayalı olarak değiştirilmiş iletişim protokolünü kolaylaştırma" özellikleriyle birlikte geliyor.
Saldırılar, sahte belgeler içeren bir kimlik avı e-postasıyla başlar ve SugarGh0st RAT'ın konuşlandırılmasına yol açan çok aşamalı bir süreci etkinleştirir.
Sahte belgeler, RAR arşivi e-posta ekine gömülü bir Windows Kısayol dosyasında bulunan, yoğun bir şekilde gizlenmiş bir JavaScript damlalığına dahil edilmiştir.
Araştırmacılar, "JavaScript, gömülü dosyaların kodunu çözer ve bir toplu komut dosyası, özelleştirilmiş bir DLL yükleyici, şifreli bir SugarGh0st yükü ve bir tuzak belge dahil olmak üzere %TEMP% klasörüne bırakır" dedi.
Sahte belge daha sonra kurbana görüntülenirken, arka planda toplu komut dosyası DLL yükleyicisini çalıştırır ve bu da onu rundll32.exe adlı meşru bir Windows yürütülebilir dosyasının kopyalanmış bir sürümüyle yandan yükler ve SugarGh0st yükünün şifresini çözmek ve başlatır.
Saldırının ikinci bir çeşidi de, bir cazibe gibi görünen kötü amaçlı bir Windows Kısayol dosyası içeren bir RAR arşiviyle başlar, aradaki fark, JavaScript'in SugarGh0st'yi başlatan kabuk kodunu çalıştırmak için DynamicWrapperX'ten yararlanmasıdır.
C++ ile yazılmış 32 bitlik bir dinamik bağlantı kitaplığı (DLL) olan SugarGh0st, sabit kodlanmış bir komut ve kontrol (C2) alanıyla iletişim kurarak sistem meta verilerini sunucuya iletmesine, ters kabuk başlatmasına ve rastgele komutlar çalıştırmasına olanak tanır.
Ayrıca, izlerini örtmek ve algılamadan kaçınmak için işlemleri numaralandırabilir ve sonlandırabilir, ekran görüntüleri alabilir, dosya işlemleri gerçekleştirebilir ve hatta makinenin olay günlüklerini temizleyebilir.
Kampanyanın Çin ile olan bağlantıları, Gh0st RAT'ın Çin kökenlerinden ve tamamen işlevsel arka kapının, kısmen 2008'de kaynak kodunun yayınlanmasıyla birlikte, yıllar içinde Çinli tehdit aktörleri tarafından geniş çapta benimsenmesinden kaynaklanmaktadır. Bir başka duman tabancası kanıtı, tuzak dosyaların meta verilerindeki "son değiştiren" alanında Çince adların kullanılmasıdır.
Araştırmacılar, "Gh0st RAT kötü amaçlı yazılımı, Çinli tehdit aktörlerinin cephaneliğinde bir dayanak noktasıdır ve en az 2008'den beri aktiftir" dedi.
"Çinli aktörlerin de Özbekistan'ı hedef alma geçmişi var. Özbekistan Dışişleri Bakanlığı'nın hedef alınması, Çin'in yurtdışındaki istihbarat faaliyetlerinin kapsamıyla da uyumludur."
Google'a göre gelişme, Çin devlet destekli grupların son altı ayda Tayvan'ı giderek daha fazla hedef alması ve saldırganların izinsiz girişlerini maskelemek için konut yönlendiricilerini yeniden kullanmasıyla ortaya çıktı.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı