Xitoy tilida so‘zlashuvchi kiber jinoyatchi guruh O‘zbekiston Tashqi Ishlar Vazirligi va Janubiy Koreyalik foydalanuvchilar qurilmalarida masofadan boshqarish huquqini beruvchi SugarGh0st RAT (Remote Access Trojan) nomli troyandan foydalanuvchi zararli operatsiya bilan bog‘liq ekanligi aniqlandi.
2023-yil avgust oyidan kechiktirmay boshlangan faoliyat Gh0st RAT (yoki Farfli) ning o’zgartirilgan varianti bo‘lgan zararli dasturni yetkazib berish uchun ikki xil zararlanish turini qo‘llagan. Cisco Talos tadqiqotchilari Eshli Shen va Chetan Raghuprasadning aytishicha, u “C2 tomonidan ko’rsatilgan masofadan boshqarish vazifalarini osonlashtirish va buyruqlar tuzilmasi va kodda ishlatiladigan satrlarning o’xshashligi asosida o’zgartirilgan aloqa protokoli” bilan birga keladi.
Hujumlar SugarGh0st RAT ni o’rnatishga olib keladigan ko’p bosqichli jarayonni faollashtiradigan firibgarlik hujjatlariga ega bo’lgan elektron pochta orqali boshlanadi.
Soxta hujjatlar RAR arxivi elektron pochta ilovasiga o’rnatilgan Windows yorliq faylida joylashgan, juda tushunarsiz JavaScript kodi ichiga kiritilgan.
“JavaScript oʻrnatilgan fayllarni dekodlaydi; batch skript, moslashtirilgan DLL yuklagichi, shifrlangan SugarGh0st dasturi va chalg’ituvchi hujjatni %TEMP% papkasiga tashlaydi”, – deydi tadqiqotchilar.
So‘ngra soxta hujjat jabrlanuvchiga ko‘rsatiladi, fonda esa windows uchun mo’ljallangan batch skript DLL yuklagichini ishga tushiradi, bu esa, o‘z navbatida, SugarGh0st dasturini shifrini ochish va ishga tushirish uchun qonuniy Windows bajariladigan versiyasining nusxalangan versiyasi bilan yonma-yon yuklaydi.
Hujumning ikkinchi varianti, shuningdek, oʻziga jalb etuvchi zararli Windows yorliq faylini oʻz ichiga olgan RAR arxividan boshlanadi, farqi shundaki, JavaScript SugarGh0st-ni ishga tushiruvchi qobiq kodini ishga tushirish uchun DynamicWrapperX nomli dasturdan foydalanadi.
SugarGh0st, C++ da yozilgan 32-bitli dinamik havola kutubxonasi (DLL) kodda kiritilgan buyruq-nazorat (C2) domeni bilan aloqa o‘rnatib, tizim ma’lumotlarini serverga uzatishga, ixtiyoriy buyruqlarni bajarishga qaratilgan masofaviy administratsion dastur (RAT) hisoblanadi.
Shuningdek, u boshqa bajarilayotgan dasturlarni boshqarishi, skrinshotlar olishi, fayl operatsiyalarini bajarishi va hatto qurilmaning voqealar jurnallarini tozalashi mumkin, bu uning izlarini yopish va aniqlashdan qochish uchun mo’ljallangan.
Kampaniyaning Xitoy bilan aloqasi Gh0st RAT-ning xitoylik kelib chiqishi va to’liq ishlaydigan orqa eshik yillar davomida xitoylik tahdid aktyorlari tomonidan keng qo’llanilganligi, qisman uning manba kodining 2008-yilda chiqarilishi bilan bog’liq.
“Gh0st RAT zararli dasturiy ta’minoti xitoylik hakerlar arsenalida asosiy tayanch bo’lib, kamida 2008-yildan beri faol ishlatilib kelinmoqda”, – deydi tadqiqotchilar.
“Tarix davomida Xitoy kiber jinoyatchi guruhlari O’zbekistonni ham ko’pdan beri nishonga olib kelishgan. O’zbekiston Tashqi ishlar vazirligining nishonga olinishi Xitoy razvedkasining xorijdagi faoliyati doirasiga ham mos keladi”.
Manba: havola
