Home
Forums
New posts
Search forums
What's new
New posts
New profile posts
Latest activity
Members
Current visitors
New profile posts
Search profile posts
Log in
Register
What's new
Search
Search
Search titles only
By:
New posts
Search forums
Menu
Log in
Register
Install the app
Install
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an
alternative browser
.
Reply to thread
Home
Forums
CARDING & HACKING
Carding News
Китайские хакеры используют SugarGh0st RAT для нападения на Южную Корею и Узбекистан
Message
<blockquote data-quote="Brianwill" data-source="post: 899" data-attributes="member: 15"><p><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaoqm8mskweoRejOp_15Lgmvqb6WUMtH7Jv8qsO9pR4BwIX89UckNM4JQv0Ixu0-Q04qVss9aq_Z8R114KWzYWOZBkjTb65Qwj6t6Mv9YP4OWX9V4EY5_6LGr0plWhCkepKAU49UVOH_wAC5YHsqTDRqIVawMdJIdaIvVFhoIZ_0kfoatPXn-F1BN-SA4w/s728-rw-ft-e30/talos.jpg" alt="talos.jpg" class="fr-fic fr-dii fr-draggable " style="" /></p><p></p><p></p><p>Подозреваемый в угрозе участник, говорящий на китайском языке, был причастен к вредоносной кампании, нацеленной на Министерство иностранных дел Узбекистана и южнокорейских пользователей с помощью троянца удаленного доступа под названием <strong>SugarGh0st RAT</strong>.</p><p></p><p>Активность, которая началась не позднее августа 2023 года, использует две различные последовательности заражения для доставки вредоносного ПО, представляющего собой индивидуальный вариант Gh0st RAT (он же Farfli).</p><p></p><p>Он поставляется с функциями для "облегчения задач удаленного администрирования в соответствии с указаниями C2 и модифицированным протоколом связи, основанным на сходстве структуры команд и строк, используемых в коде", - сказали исследователи Cisco Talos Эшли Шен и Четан Рагхупрасад.</p><p></p><p>Атаки начинаются с фишингового электронного письма, содержащего документы-приманки, открытие которых активирует многоступенчатый процесс, приводящий к развертыванию SugarGh0st RAT.</p><p></p><p>Документы-приманки включены в сильно запутанный JavaScript-дроппер, который содержится в файле быстрого доступа Windows, встроенном во вложение электронной почты из архива RAR.</p><p></p><p>"JavaScript декодирует и удаляет встроенные файлы в папку %TEMP%, включая пакетный скрипт, настроенный загрузчик DLL, зашифрованную полезную нагрузку SugarGh0st и документ-приманку", - сказали исследователи.</p><p></p><p>Затем жертве отображается документ-приманка, в то время как в фоновом режиме пакетный скрипт запускает загрузчик DLL, который, в свою очередь, загружает его скопированной версией законного исполняемого файла Windows под названием rundll32.exe расшифровать и запустить полезную нагрузку SugarGh0st.</p><p></p><p>Второй вариант атаки также начинается с архива RAR, содержащего вредоносный файл быстрого доступа Windows, который маскируется под приманку, с той разницей, что JavaScript использует DynamicWrapperX для запуска шелл-кода, запускающего SugarGh0st.</p><p></p><p>SugarGh0st, 32-разрядная библиотека динамических ссылок (DLL), написанная на C ++, устанавливает контакт с жестко запрограммированным командно-управляющим доменом (C2), позволяя ему передавать системные метаданные на сервер, запускать обратную оболочку и выполнять произвольные команды.</p><p></p><p>Он также может перечислять и завершать процессы, делать скриншоты, выполнять файловые операции и даже очищать журналы событий компьютера в попытке замести следы и избежать обнаружения.</p><p></p><p>Связи кампании с Китаем проистекают из китайского происхождения Gh0st RAT и того факта, что полнофункциональный бэкдор был широко принят китайскими агентами по борьбе с угрозами на протяжении многих лет, отчасти благодаря выпуску его исходного кода в 2008 году. Еще одним неопровержимым доказательством является использование китайских имен в поле "последнее изменение" в метаданных файлов-приманки.</p><p></p><p>"Вредоносная программа Gh0st RAT является основой в арсенале китайских злоумышленников и активна как минимум с 2008 года", - говорят исследователи.</p><p></p><p>"Китайские субъекты также имеют историю нападений на Узбекистан. Нападение на Министерство иностранных дел Узбекистана также соответствует масштабам деятельности китайской разведки за рубежом".</p><p></p><p>Развитие событий происходит по мере того, как китайские группы, спонсируемые государством, также все чаще нацеливаются на Тайвань в последние шесть месяцев, при этом злоумышленники перепрофилируют бытовые маршрутизаторы для маскировки своих вторжений, согласно Google.</p></blockquote><p></p>
[QUOTE="Brianwill, post: 899, member: 15"] [IMG alt="talos.jpg"]https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaoqm8mskweoRejOp_15Lgmvqb6WUMtH7Jv8qsO9pR4BwIX89UckNM4JQv0Ixu0-Q04qVss9aq_Z8R114KWzYWOZBkjTb65Qwj6t6Mv9YP4OWX9V4EY5_6LGr0plWhCkepKAU49UVOH_wAC5YHsqTDRqIVawMdJIdaIvVFhoIZ_0kfoatPXn-F1BN-SA4w/s728-rw-ft-e30/talos.jpg[/IMG] Подозреваемый в угрозе участник, говорящий на китайском языке, был причастен к вредоносной кампании, нацеленной на Министерство иностранных дел Узбекистана и южнокорейских пользователей с помощью троянца удаленного доступа под названием [B]SugarGh0st RAT[/B]. Активность, которая началась не позднее августа 2023 года, использует две различные последовательности заражения для доставки вредоносного ПО, представляющего собой индивидуальный вариант Gh0st RAT (он же Farfli). Он поставляется с функциями для "облегчения задач удаленного администрирования в соответствии с указаниями C2 и модифицированным протоколом связи, основанным на сходстве структуры команд и строк, используемых в коде", - сказали исследователи Cisco Talos Эшли Шен и Четан Рагхупрасад. Атаки начинаются с фишингового электронного письма, содержащего документы-приманки, открытие которых активирует многоступенчатый процесс, приводящий к развертыванию SugarGh0st RAT. Документы-приманки включены в сильно запутанный JavaScript-дроппер, который содержится в файле быстрого доступа Windows, встроенном во вложение электронной почты из архива RAR. "JavaScript декодирует и удаляет встроенные файлы в папку %TEMP%, включая пакетный скрипт, настроенный загрузчик DLL, зашифрованную полезную нагрузку SugarGh0st и документ-приманку", - сказали исследователи. Затем жертве отображается документ-приманка, в то время как в фоновом режиме пакетный скрипт запускает загрузчик DLL, который, в свою очередь, загружает его скопированной версией законного исполняемого файла Windows под названием rundll32.exe расшифровать и запустить полезную нагрузку SugarGh0st. Второй вариант атаки также начинается с архива RAR, содержащего вредоносный файл быстрого доступа Windows, который маскируется под приманку, с той разницей, что JavaScript использует DynamicWrapperX для запуска шелл-кода, запускающего SugarGh0st. SugarGh0st, 32-разрядная библиотека динамических ссылок (DLL), написанная на C ++, устанавливает контакт с жестко запрограммированным командно-управляющим доменом (C2), позволяя ему передавать системные метаданные на сервер, запускать обратную оболочку и выполнять произвольные команды. Он также может перечислять и завершать процессы, делать скриншоты, выполнять файловые операции и даже очищать журналы событий компьютера в попытке замести следы и избежать обнаружения. Связи кампании с Китаем проистекают из китайского происхождения Gh0st RAT и того факта, что полнофункциональный бэкдор был широко принят китайскими агентами по борьбе с угрозами на протяжении многих лет, отчасти благодаря выпуску его исходного кода в 2008 году. Еще одним неопровержимым доказательством является использование китайских имен в поле "последнее изменение" в метаданных файлов-приманки. "Вредоносная программа Gh0st RAT является основой в арсенале китайских злоумышленников и активна как минимум с 2008 года", - говорят исследователи. "Китайские субъекты также имеют историю нападений на Узбекистан. Нападение на Министерство иностранных дел Узбекистана также соответствует масштабам деятельности китайской разведки за рубежом". Развитие событий происходит по мере того, как китайские группы, спонсируемые государством, также все чаще нацеливаются на Тайвань в последние шесть месяцев, при этом злоумышленники перепрофилируют бытовые маршрутизаторы для маскировки своих вторжений, согласно Google. [/QUOTE]
Name
Verification
Post reply
Home
Forums
CARDING & HACKING
Carding News
Китайские хакеры используют SugarGh0st RAT для нападения на Южную Корею и Узбекистан
Top