Ngày 24 tháng 1 năm 2023Ravie LakshmananGián điệp mạng / Golang
Các tổ chức ở Đông Á đang là mục tiêu của một diễn viên nói tiếng Trung Quốc được mệnh danh là RồngSpark trong khi sử dụng các chiến thuật không phổ biến để vượt qua các lớp bảo mật.
SentinelOne cho biết trong một phân tích được công bố hôm nay: “Các cuộc tấn công được đặc trưng bởi việc sử dụng SparkRAT mã nguồn mở ít được biết đến và phần mềm độc hại cố gắng tránh bị phát hiện thông qua giải thích mã nguồn Golang”.
Một khía cạnh nổi bật của các cuộc xâm nhập là việc sử dụng SparkRAT một cách nhất quán để thực hiện nhiều hoạt động khác nhau, bao gồm đánh cắp thông tin, giành quyền kiểm soát máy chủ bị nhiễm hoặc chạy các hướng dẫn PowerShell bổ sung.
Mục tiêu cuối cùng của kẻ đe dọa vẫn chưa được biết, mặc dù hoạt động gián điệp hoặc tội phạm mạng có thể là động cơ. Mối quan hệ của DragonSpark với Trung Quốc bắt nguồn từ việc sử dụng vỏ web China Chopper để triển khai phần mềm độc hại – một con đường tấn công được sử dụng rộng rãi giữa các tác nhân đe dọa Trung Quốc.
Hơn nữa, không chỉ các công cụ mã nguồn mở được sử dụng trong các cuộc tấn công mạng bắt nguồn từ các nhà phát triển hoặc công ty có liên kết với Trung Quốc, cơ cấu dàn dựng các tải trọng được đặt tại Đài Loan, Hồng Kông, Trung Quốc và Singapore, một số thuộc về các doanh nghiệp hợp pháp. .
Mặt khác, các máy chủ chỉ huy và kiểm soát (C2) được đặt tại Hồng Kông và Hoa Kỳ, công ty an ninh mạng cho biết.
Các con đường truy cập ban đầu đòi hỏi phải thỏa hiệp các máy chủ web tiếp xúc với internet và máy chủ cơ sở dữ liệu MySQL để loại bỏ vỏ web China Chopper. Chỗ đứng sau đó được tận dụng để thực hiện chuyển động ngang, leo thang đặc quyền và triển khai phần mềm độc hại bằng cách sử dụng các công cụ nguồn mở như SharpToken, BadPotato và GotoHTTP.
Cũng được gửi đến các máy chủ là phần mềm độc hại tùy chỉnh có khả năng thực thi mã tùy ý và SparkRAT, một trojan truy cập từ xa đa nền tảng có thể chạy các lệnh hệ thống, thao tác với các tệp và quy trình cũng như hút thông tin quan tâm.
Một phần mềm độc hại đáng chú ý khác là m6699.exe dựa trên Golang, giải mã trong thời gian chạy mã nguồn chứa trong nó để bay dưới radar và khởi chạy trình tải shellcode được thiết kế để liên hệ với máy chủ C2 để tìm nạp và thực thi giai đoạn tiếp theo shellcode.
Các nhà nghiên cứu kết luận: “Các tác nhân đe dọa nói tiếng Trung Quốc được biết là thường xuyên sử dụng phần mềm nguồn mở trong các chiến dịch độc hại”.
“Vì SparkRAT là một công cụ đa nền tảng và giàu tính năng, đồng thời thường xuyên được cập nhật các tính năng mới, chúng tôi ước tính rằng RAT sẽ vẫn hấp dẫn đối với tội phạm mạng và các tác nhân đe dọa khác trong tương lai.”
