Компания Cisco Talos обнаружила новый троян удаленного доступа (RAT) под названием SpiceRAT, который был использован злоумышленником SneakyChef в кампании, нацеленной на правительственные учреждения в регионе EMEA и Азии. Фишинговая кампания SneakyChef включала отправку электронных писем с вложениями SugarGh0st и SpiceRAT от одного отправителя.
SpiceRAT
Исследователям удалось выявить две цепочки заражения, используемые SneakyChef для доставки SpiceRAT. Одна цепочка использовала файлы LNK, а другая - файлы HTA как начальные векторы атаки.
SneakyChef использовал имя и адрес электронной почты, чтобы отправить фишинговые письма с различными вложениями файлов RAR, которые могли доставлять как SugarGh0st, так и SpiceRAT.
Для доставки SpiceRAT SneakyChef использовал приманки от новостного агентства Туркменистана, которые были вложены в письма, предположительно адресованные правительственным учреждениям Анголы. Обнаружено, что SneakyChef загрузил PDF-файлы с официального сайта этого новостного агентства. Аналогичный фальшивый PDF-файл от этого же агентства был использован для доставки SugarGh0st RAT. В результате было выяснено, что у SneakyChef имеется доступ как к SpiceRAT, так и к SugarGh0st RAT.
Компания Cisco Talos сообщила о двух цепочках заражения, используемых SneakyChef для распространения SpiceRAT. Обе цепочки включали несколько этапов и начинались с файлов LNK или HTA. При использовании LNK-файлов жертва распаковывала RAR-архив, который содержал вредоносный файл LNK и скрытую папку с компонентами атаки. При открывании файла LNK, замаскированного под PDF-документ, жертва запускала вредоносный исполняемый файл, который в свою очередь выполнял команду для запуска других компонентов атаки, включая SpiceRAT.
Цепочка заражения на основе HTA начиналась с RAR-архива, содержащего вредоносный HTA-файл. При запуске этого файла с помощью встроенного скрипта Visual Basic выполнялся сброс вредоносного исполняемого файла во временную папку пользователя, замаскированную под текстовый файл. После этого выполнялся запуск пакетного файла Windows, который выполнял ряд операций на компьютере жертвы, включая создание запланированной задачи Windows для запуска вредоносного загрузчика.
Indicators of Compromise
IPv4
- 45.144.31.57
- 94.198.40.4
Domains
- app.turkmensk.org
- stock.adobe-service.net
URLs
- http://94.198.40.4/homepage/index.aspx
- http://app.turkmensk.org/homepage/index.aspx
- http://stock.adobe-service.net/homepage/index.aspx
SHA256
- 0374a9812c7e43db1bde605cc3decff3d77c8b041b959a5422e4da0b60e0f6dc
- 197f3be195767142f1a4da0ad9e108c23993361d1a180b62749a9b84ed0b1a45
- 427b6dc489cbfad36413fce6f71e82e158a6632c9986c1dee1af7676a129f048
- 48c65bb99ce954df0ee492b92e634d602d621295be2ff87e57fcb07c8b33db8b
- 4d4d8f9941fa5e378f6019d1a4e20bb70bce31db23720724ec35a373eb7ecf75
- 598c2b0b15b7b35b93f7435aecbd377de66ac3ccc4b7af8edce1ce3bc6d773cd
- 6ca2415aabb806a871889c2ab48ad05b1ba444b5867ceadbcea3ab7f23de72f4
- 9d4283c05417c0b49a00c6e5159eb5bcb52142036f94fcdfb9712b231d020955
- 9f1cd725116114ab72c772c99a4809f5870dfceebb1f47f24c68025e34e714f9
- b84ebbe57151844ac7ac9fc5d488e4696f37f98779d13dceafe6c5a7f2219a4c
- bd3d9bad4d460da08a4a3ae655e7c49b8435efd39ea4faa19ed052c7f65423ab
- dde3e5dca9e0498db558dd8e83f27143ad86cd0fcca1a33964ee4f3100682db8
- e2330f64c92a49927098f8a07de9da8fc54c87a89dc549f6ebdcf3bc78732db2
