SugarGh0st RAT
A Cisco Talos azonosított egy rosszindulatú kampányt, amely valószínűleg már 2023. augusztusában elkezdődött, és egy új, SugarGh0st nevű távoli hozzáférési trójai (RAT) programot szállított. A Cisco Talos bizonyítékokat talált arra, hogy egy fenyegetési szereplő az üzbég külügyminisztériumot és dél-koreai felhasználókat is célba vette. A Talos a parancsszerkezet és a kódban használt karakterláncok hasonlósága alapján nagy bizonyossággal úgy értékeli, hogy a SugarGh0st RAT a több mint egy évtizede aktív hírhedt trójai, a Gh0st RAT új, testreszabott változata, amely a C2 által irányított távfelügyeleti feladatok megkönnyítésére testreszabott parancsokkal és módosított kommunikációs protokollal rendelkezik. Két fertőzési láncot figyeltek meg a biztonsági kutatók, amelyek a rosszindulatú JavaScriptbe ágyazott Windows parancsikonokat használják ki a SugarGh0st payload ledobásához és elindításához szükséges komponensek szállítására. A Cisco Talos négy olyan mintát fedezett fel egy kampányban, amelyek a csalárd dokumentumok nyelve, tartalma és a Talos által azonosított terjesztési mutatók alapján valószínűleg üzbegisztáni és dél-koreai felhasználókat céloznak. A kampány kezdeti vektora valószínűleg egy adathalász e-mail, amelyhez egy rosszindulatú RAR archív fájlt csatoltak.