Компания Cisco Talos недавно обнаружила вредоносную кампанию, начавшуюся, вероятно, еще в августе 2023 года, в ходе которой был обнаружен новый троян удаленного доступа (RAT), получивший название "SugarGh0st". Атакующий, скорее всего, говорит на китайском языке и нацелен на Министерство иностранных дел Узбекистана и пользователей в Южной Корее.
RAT распространяется через две цепочки заражения, которые используют Windows Shortcut с вредоносным JavaScript для доставки компонентов для сброса и запуска полезной нагрузки SugarGh0st. RAT оснащена специальными функциями для разведки, включая поиск определенных ключей реестра Open Database Connectivity (ODBC), загрузку файлов библиотек с определенными расширениями файлов и именами функций, а также специальные команды для облегчения задач удаленного администрирования по указанию C2. RAT может выполнять большинство функций удаленного управления, включая запуск обратной оболочки, выполнение произвольных команд, отправленных из C2 в виде строк с помощью командной оболочки, и доступ к камере машины жертвы для захвата экрана и сжатия захваченных данных перед отправкой их на сервер C2.
Indicators of Compromise
IPv4
- 103.108.67.191
- 103.148.245.235
Domains
- account.drive-google-com.tk
- login.drive-google-com.tk
SHA256
- 21f19d87d2169c82efd76ddb1baa024a1e59b93f82d28f276de853fc3ef8b20e
- 2e543adb701afd40affcb4c51bd8246398b0210bee641ca9aeffcca893c9e4a5
- 3436135bb3839521e7712882f0f6548aff78db66a1064408c49f820a0b85d980
- 362fde3362e307af3787b9bf0b5c71f87b659a3217e054c4d0acea8b9e6d74b0
- 38c815729f34aef6af531edf3f0c3f09635686dbe7e5db5cb97eca5b2b5b7712
- 410d7dc973d188cd0d962a59f48deb1cfc73adf37857765e90194f6e878d4488
- 5ad182c913f0b5cb6a34126137c335110d4c9472f5c745cb7a438d108b03b27c
- 66982ebd5ebb75633723c7057a1e948ac3aafe3ff808397eb0c55c853c82f9e6
- 6dff111b6adc9e33bed20eae99bec779f1c29dd55895a71125cfbe3c90950eb2
- 7c87451261dfce64fda987eb395694b5330fd958466c46c931440cd9dc227505
- 7cacdc84a0d690564c8471a4f58ab192ef7d9091ab0809933f616010bbf6846a
- 8584094f79fce97321ee82ca5da41b6830ecc6a0921bcaddb8dd337827cd7d1a
- 9783c0eee31ce6c5f795ecf387025af5d55208ff2713c470af2042721ab38606
- 9d9a0af09fc9065bacabf1a193cad4386b5e8e5101639e07efa82992b723f3b0
- adb4eb33213fa81c8b6cc013a6f4a43fa8b70eb8027433cf4339b532cb6e84cf
- bd0a1efe07fcb4af4bec1b2881a0711f0be34044680ad8cff958a68a70d4a914
- c758eed6660786097b63ac6748236b5b6084783703ea7ee2111e8f0bcaa3652e
- ddac61f918ed87b49ef15d05873e7f52b919758aef713145f6a7d538c714fa2e
- ee5982a71268c84a5c062095ce135780b8c2ffb1f266c2799173fb0f7bfdd33e
- f3ea4611c72d57eabf381d5639c3c8d1840cb005ed811f3038410fb2e04978c1
- ff0f28f96bbb6c80fc3823fe71d5e07e1a05b06986e82a2fbe324d68ba5ab2ea