One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8418164 |
| Date de publication | 2023-11-30 21:42:33 (vue: 2023-11-30 22:08:19) |
| Titre | New Sugargh0st Rat cible le gouvernement ouzbékistan et la Corée du Sud New SugarGh0st RAT targets Uzbekistan government and South Korea |
| Texte | #### Description
Cisco Talos a récemment découvert une campagne malveillante qui a probablement commencé dès août 2023, livrant un nouveau cheval de Troie à distance à distance (rat) surnommé «Sugargh0st».L'acteur de menace derrière le rat est probablement chinois et vise le ministère ouzbékistan des affaires étrangères et des utilisateurs en Corée du Sud.
Le rat est livré à travers deux chaînes d'infection qui exploitent le raccourci Windows intégré à un JavaScript malveillant pour livrer les composants à abandonner et à lancer la charge utile de Sugargh0st.Le rat est équipé de fonctionnalités personnalisées dans sa capacité de reconnaissance, y compris la recherche de clés de registre spécifiques de la connectivité de la base de données (ODBC), de chargement des fichiers de bibliothèque avec des extensions de fichiers et un nom de fonction spécifiques, et des commandes personnalisées pour faciliter les tâches d'administration à distance dirigés par le C2.Le rat peut exécuter la plupart des fonctionnalités de contrôle à distance, y compris le lancement du shell inverse, l'exécution de commandes arbitraires envoyées à partir de C2 comme chaînes à l'aide du shell de commande et accéder à l'appareil photo de la victime pour capturer l'écran et comprimer les données capturées avant de l'envoyerau serveur C2.
#### URL de référence (s)
1. https://blog.talosintelligence.com/new-sugargh0st-rat/
#### Date de publication
30 novembre 2023
#### Auteurs)
Ashley Shen
#### Description Cisco Talos recently discovered a malicious campaign that likely started as early as August 2023, delivering a new remote access trojan (RAT) dubbed “SugarGh0st.” The threat actor behind the RAT is likely Chinese-speaking and is targeting the Uzbekistan Ministry of Foreign Affairs and users in South Korea. The RAT is delivered through two infection chains that leverage Windows Shortcut embedded with malicious JavaScript to deliver the components to drop and launch the SugarGh0st payload. The RAT is equipped with customized features in its reconnaissance capability, including looking for specific Open Database Connectivity (ODBC) registry keys, loading library files with specific file extensions and function name, and customized commands to facilitate remote administration tasks directed by the C2. The RAT can execute most remote control functionalities, including launching the reverse shell, running arbitrary commands sent from C2 as strings using the command shell, and accessing the victim\'s machine camera to capture the screen and compress the captured data before sending it to the C2 server. #### Reference URL(s) 1. https://blog.talosintelligence.com/new-sugargh0st-rat/ #### Publication Date November 30, 2023 #### Author(s) Ashley Shen |
| Envoyé | Oui |
| Condensat | #### 2023 access accessing actor administration affairs arbitrary ashley august author before behind camera campaign can capability capture captured chains chinese cisco com/new command commands components compress connectivity control customized data database date deliver delivered delivering description directed discovered drop dubbed early embedded equipped execute extensions facilitate features file files foreign from function functionalities government https://blog including infection its javascript keys korea launch launching leverage library likely loading looking machine malicious ministry most name new november odbc open payload publication rat rat/ recently reconnaissance reference registry remote reverse running screen sending sent server shell shen shortcut south speaking specific started strings sugargh0st talos talosintelligence targeting targets tasks threat through trojan two url users using uzbekistan victim windows “sugargh0st |
| Tags | Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.