TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьШпионская группа Sneaky Chef нацелена на правительственные учреждения с помощью SugarGh0st и других методов заражения
Злоумышленник SneakyChef, вероятно, говорящий по-китайски, с начала августа 2023 года нацелился на правительственные учреждения в различных странах, включая Узбекистан, Южную Корею, Анголу, Туркменистан, Казахстан, Саудовскую Аравию, Индию, Латвию и, возможно, другие. Они используют документы-приманки, выдающие себя за государственные министерства и ведомства, чтобы заманить жертв к открытию вредоносных вложений. Электронные письма часто содержат информацию о встречах, конференциях или официальных циркулярах. В своих кампаниях злоумышленники используют сахарную пудру Gh0st RAT и новый тариф под названием SpiceR AT. Было обнаружено, что они используют домены C2, такие как учетная запись[.]drive-google-com[.]tk и учетная запись[.]gommask[.]online. Цепочка заражения обычно включает вредоносный RAR-файл, доставляемый по фишинговой электронной почте. Недавно они начали использовать SFX RAR в качестве исходного вектора атаки, который выполняет SFX-скрипт для отправки документа-приманки, загрузчика DLL, зашифрованного SugarGh0st и вредоносного VB-скрипта во временную папку профиля пользователя жертвы. Вредоносный скрипт VB устанавливает постоянство, записывая команду в раздел реестра UserInitMprLogonScript, которая выполняется при входе пользователя в систему.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка: https://blog.talosintelligence.com/sneakychef-sugarghost-rat/
Примеры признаков компрометации:
- 6f8ccda88e0ff98c781ad6e027f4294eb54bff27a3ca1cd72aa83e4082013860
- dd4fc4760401b8dc37b0a823af19d0f7b5c2039704caf5327f8f8c6d00bd148c
- ac5342050b0ec85a122846510e06f861960c45613ecc05e3951c57d7d02aa716
- 2f32e99c182f0f7cf6ff54d9d1a9d9f7e59823030d2a89e15890c2c8b1612caf
- bae38315e5a6622d01b66db561efa206e698f3cb6157645dabd4f0267b8d2c91
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться