Новый троян SugarGh0st атакует государственные учреждения и пользователей в Азии

SugarGh0st распространяется через две цепочки заражения, каждая из которых использует вредоносные ярлыки Windows (LNK-файлы), содержащие JavaScript-код. Этот код отвечает за доставку и запуск компонентов, необходимых для развертывания основной вредоносной нагрузки. Троян обладает широким функционалом для сбора разведывательных данных, включая поиск в системе определенных ключей реестра Open Database Connectivity (ODBC), загрузку файлов библиотек с заданными расширениями и именами функций, а также выполнение специализированных команд, облегчающих удаленное администрирование по указанию командного сервера (C2).

Одной из ключевых особенностей SugarGh0st является его способность выполнять практически любые действия на зараженном устройстве. Троян может запускать обратную оболочку, выполнять произвольные команды, переданные с сервера C2 в виде строк, а также получать доступ к камере жертвы для захвата изображений или видео. Кроме того, вредоносная программа умеет делать скриншоты экрана, сжимать полученные данные и отправлять их злоумышленникам.

Аналитики Cisco Talos отмечают, что SugarGh0st демонстрирует высокий уровень адаптации под конкретные цели. Например, в случае с атаками на Министерство иностранных дел Узбекистана злоумышленники, вероятно, ставили целью сбор конфиденциальной политической информации. В свою очередь, атаки на южнокорейских пользователей могли быть направлены на кражу персональных данных или корпоративных секретов.

Пока остается неясным, связана ли данная кампания с какими-либо известными хакерскими группировками. Однако лингвистический анализ кода и используемых серверов C2 указывает на то, что разработчики трояна, скорее всего, являются носителями китайского языка. Это косвенно подтверждает гипотезу о возможной причастности китайских APT-групп, которые нередко специализируются на целевых атаках против государственных структур и коммерческих организаций в Азии.

Эксперты по безопасности рекомендуют организациям усилить мониторинг подозрительной активности в своих сетях, особенно в части необычных LNK-файлов и JavaScript-кода, запускаемого через ярлыки. Также важно регулярно обновлять антивирусные базы и применять патчи для операционных систем, чтобы минимизировать риски эксплуатации уязвимостей.

Появление SugarGh0st еще раз подчеркивает растущую сложность киберугроз, с которыми сталкиваются как государственные, так и частные структуры. Злоумышленники постоянно совершенствуют свои инструменты, делая их более скрытными и функциональными. В таких условиях критически важным становится не только использование современных средств защиты, но и повышение осведомленности сотрудников о методах социальной инженерии, которые часто используются для первоначального проникновения в систему.

На данный момент Cisco Talos продолжает исследование SugarGh0st, чтобы выявить все возможные векторы атак и разработать рекомендации по противодействию этой угрозе. Компания также сотрудничает с международными CERT-командами для обмена информацией и координации ответных мер. Пользователям и организациям, которые могли стать жертвами этой кампании, рекомендуется обращаться в службы информационной безопасности для проведения дополнительных проверок.

IPv4

• 103.108.67.191
• 103.148.245.235

Domains

• account.drive-google-com.tk
• login.drive-google-com.tk

SHA256

• 21f19d87d2169c82efd76ddb1baa024a1e59b93f82d28f276de853fc3ef8b20e
• 2e543adb701afd40affcb4c51bd8246398b0210bee641ca9aeffcca893c9e4a5
• 3436135bb3839521e7712882f0f6548aff78db66a1064408c49f820a0b85d980
• 362fde3362e307af3787b9bf0b5c71f87b659a3217e054c4d0acea8b9e6d74b0
• 38c815729f34aef6af531edf3f0c3f09635686dbe7e5db5cb97eca5b2b5b7712
• 410d7dc973d188cd0d962a59f48deb1cfc73adf37857765e90194f6e878d4488
• 5ad182c913f0b5cb6a34126137c335110d4c9472f5c745cb7a438d108b03b27c
• 66982ebd5ebb75633723c7057a1e948ac3aafe3ff808397eb0c55c853c82f9e6
• 6dff111b6adc9e33bed20eae99bec779f1c29dd55895a71125cfbe3c90950eb2
• 7c87451261dfce64fda987eb395694b5330fd958466c46c931440cd9dc227505
• 7cacdc84a0d690564c8471a4f58ab192ef7d9091ab0809933f616010bbf6846a
• 8584094f79fce97321ee82ca5da41b6830ecc6a0921bcaddb8dd337827cd7d1a
• 9783c0eee31ce6c5f795ecf387025af5d55208ff2713c470af2042721ab38606
• 9d9a0af09fc9065bacabf1a193cad4386b5e8e5101639e07efa82992b723f3b0
• adb4eb33213fa81c8b6cc013a6f4a43fa8b70eb8027433cf4339b532cb6e84cf
• bd0a1efe07fcb4af4bec1b2881a0711f0be34044680ad8cff958a68a70d4a914
• c758eed6660786097b63ac6748236b5b6084783703ea7ee2111e8f0bcaa3652e
• ddac61f918ed87b49ef15d05873e7f52b919758aef713145f6a7d538c714fa2e
• ee5982a71268c84a5c062095ce135780b8c2ffb1f266c2799173fb0f7bfdd33e
• f3ea4611c72d57eabf381d5639c3c8d1840cb005ed811f3038410fb2e04978c1
• ff0f28f96bbb6c80fc3823fe71d5e07e1a05b06986e82a2fbe324d68ba5ab2ea