Правителства и  министерства продължават да стават жертва на сравнително стандартни кибершпионски атаки, като тази последна кампания с неясни китайски връзки.

Усъвършенствана постоянна заплаха (APT) на китайски език шпионира  министерства в цялото източно полукълбо.

Първите признаци за това датират от края на август миналата година. Тогава все още неидентифицираната група започна да използва модифицирана версия на Gh0st RAT, наречена „SugarGh0st RAT“, за да шпионира цели в Южна Корея, както и Министерството на външните работи в Узбекистан. Оттогава насам, разкрива Cisco Talos в нова публикация в блога, групата, наречена вече „SneakyChef“, подготвя нови кампании в повече държави.

Въз основа на документите за примамка, вероятните цели на кампанията са включвали:

• министерствата на външните работи на Ангола, Индия, Казахстан, Латвия и Туркменистан
• министерствата на земеделието и горското стопанство и на рибарството и морските ресурси в Ангола
• посолството на Саудитска Арабия в Абу Даби

Talos не е приписал SneakyChef на нито едно конкретно правителство. Те обаче отбелязват китайските езикови предпочитания в кода му, използването на SugarGh0st RAT – особено популярен, макар и не само сред китайските  заплахи – и сходния профил на целите му.

Последните доставки на Sneaky Chef

Ако в началото на кампаниите за първоначално заразяване се използваха зловредни RAR файлове, вградени в LNK файлове, сега SneakyChef предпочита саморазгъващи се RAR файлове (SFX RAR). Тази промяна предлага някои скромни предимства.

„Файловете RAR получиха официална поддръжка едва в Windows 11, така че за всичко преди Windows 11 трябва да имате допълнителен софтуер, за да можете да екстрахирате файла“, обяснява Ник Биазани, ръководител на отдела за работа с клиенти на Cisco Talos. „Саморазгъващият се RAR файл елиминира нуждата от допълнителен софтуер, така че вероятно увеличава вероятността от заразяване.“

Сред лакомствата, които SFX RAR пуска: документ-примамка, програма за зареждане на библиотеки за динамични връзки (DLL), криптиран зловреден софтуер – SugarGh0st RAT или най-новия инструмент на SneakyChef, SpiceRAT – и зловреден Visual Basic (VB) скрипт за установяване на устойчивост.

Примамките са легитимни, сканирани документи, свързани по някакъв начин с набелязаното министерство или посолство. Те ще описват някакъв вид правителствена дейност, най-често предстояща среща или конференция. Забележително е, че Talos не успя да открие нито един от документите, използвани в последните кампании, в отворената мрежа. (Това може да означава, че самите те са били получени чрез шпионаж).

Когато става въпрос за правителствен кибершпионаж, „това, което обикновено виждаме, е, че това ще бъде „първата вълна“. Този участник обикновено не е много сложен, той по-скоро се стреми да изпрати много примамки и да зарази много хора, за да може да получи първоначални опорни точки и да започне да събира данни“, казва Биазани. След това, когато се нуждаят от достъп до конкретен, допълнително защитен правителствен орган. „Тогава започвате да виждате как се разиграват по-сложните елементи на тези атаки.“