SugarGh0st RAT 变种用于针对性的人工智能行业攻击

网络安全研究人员最近发现一项 SugarGh0st RAT 活动，针对美国参与人工智能领域组织，包括学术界、私营企业和政府服务机构。

2024 年 5 月的活动被称为 UNK_SweetSpecter，使用 SugarGh0st RAT，这是一种根据 Gh0stRAT 定制的远程访问木马，是 Gh0stRAT 的定制变体。

Gh0stRAT 是一种较旧的商品木马，变体被用于针对与人工智能相关的实体，SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。

Proofpoint 发布的一份报告（https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat-used-target-american）中描述，这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵，诱使收件人打开 zip 附件。

诱饵电子邮件

此后，感染链与思科 Talos之前发现的模式非常相似。值得注意的是，攻击者修改了注册表项名称以实现持久性，并利用了不同的命令和控制 (C2) 服务器。

Proofpoint 分析显示，UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online，这凸显了攻击者的敏捷性。

自初次报告以来，SugarGh0st RAT 仅参与了少数活动，表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织，几乎所有收件人的电子邮件地址似乎都是公开的。 

Proofpoint写道：“虽然这些活动没有利用技术复杂的恶意软件或攻击链，但[我们的]遥测支持评估所识别的活动极具针对性。”

“2024 年 5 月的攻击活动似乎针对不到 10 个人，根据开源研究，所有这些人似乎都与美国领先的人工智能组织有直接联系。”

Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。

参考链接：https://cybernews.com/news/foxit-pdf-reader-exploit/