Cisco Talos Intelligence Groupはこのほど、「New SugarGh0st RAT targets Uzbekistan government and South Korea」において、ウズベキスタン政府と韓国を標的とした新しい遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を発見したとして、注意を呼び掛けた。発見されたトロイの木馬は2008年にソースコードが公開された「Gh0st RAT」の亜種とされ、「SugarGh0st」と名付けられている。
Cisco Talosは、このマルウェアは2023年8月に開始されたと見られる攻撃キャンペーンにより、フィッシングメールなどを使って配布されたとの見方を示している。具体的には、Windowsショートカットを含むRARアーカイブファイルが配布され、アーカイブに含まれるショートカットを実行すると、おとりの文書を表示すると共にバックグラウンドでマルウェアが実行される。
Cisco Talosはおとりの文書の言語、内容などの違いにより4種類のサンプルを入手しており、これらを分析している。その一つはウズベキスタンの大統領令に関するおとりの文書が含まれており、ウズベキスタンの外務省職員が標的だった可能性が高いとしている。残りの3つは韓国語で書かれたおとりの文書が含まれており、韓国のユーザーが標的だったとみられている。
また、これらおとりの文書には最終更新者の情報が残されており、どちらも中国語だったという。ただし、埋め込まれている名前が小説家の名前であるなど不自然な点もあるとして、脅威アクターが中国語を話すのではないかと評価している。
SugarGh0stは、このマルウェアは実行の初期段階でキーロギングを開始したのち、コマンド&コントロール(C2: Command and Control)サーバとの接続を10秒ごとに確立しようと試みると分析している。接続に成功した場合は次の情報を窃取して送信する。
- コンピュータの名前
- オペレーティングシステムのバージョン
- コンピュータのドライブ情報
- レジストリキー「HKEY_LOCAL_MACHINE\Software\ODBC\H」の内容
SugarGh0stは情報送信後、リバースシェルを起動してC&Cサーバから送信される任意のコマンドを実行する。他にもプロセスの制御、Windowsサービスの制御、スクリーンショットの窃取、カメラ画像の窃取、ファイル操作、システムイベントログの削除などさまざまな機能を脅威アクタに提供する。