Organisationen in Ostasien werden von einem wahrscheinlich chinesischsprachigen Akteur namens DragonSpark angegriffen, der ungewöhnliche Taktiken anwendet, um Sicherheitsschichten zu umgehen.
„Die Angriffe zeichnen sich durch die Verwendung des wenig bekannten Open-Source-Programms SparkRAT und einer Malware aus, die versucht, sich der Erkennung durch Interpretation des Golang-Quellcodes zu entziehen“, so SentinelOne in einer heute veröffentlichten Analyse.
Ein auffälliger Aspekt der Angriffe ist die durchgängige Verwendung von SparkRAT zur Durchführung einer Vielzahl von Aktivitäten, einschließlich des Diebstahls von Informationen, der Erlangung der Kontrolle über einen infizierten Host oder der Ausführung zusätzlicher PowerShell-Anweisungen.
Die Endziele des Bedrohungsakteurs sind noch nicht bekannt, obwohl Spionage oder Cyberkriminalität wahrscheinlich das Motiv ist. Die Verbindungen von DragonSpark zu China ergeben sich aus der Verwendung der China Chopper-Web-Shell zur Bereitstellung von Malware – ein unter chinesischen Bedrohungsakteuren weit verbreiteter Angriffsweg.
Darüber hinaus stammen nicht nur die bei den Cyberangriffen verwendeten Open-Source-Tools von Entwicklern oder Unternehmen mit Verbindungen zu China, sondern auch die Infrastruktur für die Bereitstellung der Nutzlasten befindet sich in Taiwan, Hongkong, China und Singapur, von denen einige legitimen Unternehmen gehören.
Die Command-and-Control (C2)-Server hingegen befinden sich in Hongkong und den USA, so das Cybersicherheitsunternehmen.
Die ersten Zugangswege beinhalten die Kompromittierung von Internet-exponierten Webservern und MySQL-Datenbankservern, um die China Chopper-Web-Shell abzulegen. Diese Ausgangsposition wird dann genutzt, um mithilfe von Open-Source-Tools wie SharpToken, BadPotato und GotoHTTP Seitwärtsbewegungen, Privilegienerweiterungen und die Bereitstellung von Malware durchzuführen.
Auf den Hosts werden auch benutzerdefinierte Malware, die beliebigen Code ausführen kann, und SparkRAT, ein plattformübergreifender Fernzugriffstrojaner, der Systembefehle ausführen, Dateien und Prozesse manipulieren und interessante Informationen abgreifen kann, installiert.
Eine weitere erwähnenswerte Malware ist die auf Golang basierende m6699.exe, die zur Laufzeit den in ihr enthaltenen Quellcode interpretiert, um unbemerkt einen Shellcode-Loader zu starten, der den C2-Server kontaktiert, um den Shellcode der nächsten Stufe abzurufen und auszuführen.
„Chinesischsprachige Bedrohungsakteure sind dafür bekannt, dass sie häufig Open-Source-Software in bösartigen Kampagnen verwenden“, so die Forscher.
„Da SparkRAT ein plattformübergreifendes und funktionsreiches Tool ist und regelmäßig mit neuen Funktionen aktualisiert wird, schätzen wir, dass das RAT auch in Zukunft für Cyberkriminelle und andere Bedrohungsakteure attraktiv bleiben wird.“
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
FBI sagt, dass nordkoreanische Hacker hinter dem 100-Millionen-Dollar-Kryptodiebstahl der Horizon Bridge stecken