Eine neue Reihe von Angriffen gegen ostasiatische Organisationen wurde von Sicherheitsforschern entdeckt und dem als DragonSpark bekannten Bedrohungsakteur zugeschrieben.
In der von SentinelLabs entdeckten Kampagne wird das wenig bekannte Open-Source-Programm SparkRAT zusammen mit Malware-Tools eingesetzt, um die Erkennung durch Quellcode-Interpretationstechniken auf der Grundlage der Programmiersprache Go zu umgehen.
„Die DragonSpark-Angriffe stellen die erste konkrete bösartige Aktivität dar, bei der wir die konsequente Verwendung des Open-Source-SparkRAT beobachten, ein relativ neues Phänomen in der Bedrohungslandschaft“, heißt es in einer heute veröffentlichten Mitteilung von SentinelLabs.
„SparkRAT ist plattformübergreifend, funktionsreich und wird häufig mit neuen Funktionen aktualisiert, was das RAT für Bedrohungsakteure attraktiv macht.
Laut dem technischen Bericht des leitenden Bedrohungsforschers Aleksandar Milenkoski hatte Microsoft Ende Dezember 2022 Hinweise auf Bedrohungsakteure gemeldet, die SparkRAT verwenden. Dennoch scheinen die von SentinelLabs beobachteten Angriffe nicht mit den vom Tech-Giganten dokumentierten Aktivitäten in Verbindung zu stehen.
„Wir haben beobachtet, dass der Bedrohungsakteur, der hinter den DragonSpark-Angriffen steckt, Golang-Malware verwendet, die eingebetteten Golang-Quellcode zur Laufzeit interpretiert, um die statische Analyse zu behindern und die Erkennung durch statische Analysemechanismen zu umgehen“, schrieb Milenkoski.
„Diese ungewöhnliche Technik bietet Bedrohungsakteuren eine weitere Möglichkeit, Erkennungsmechanismen zu umgehen, indem Malware-Implementierungen verschleiert werden.“
Nachdem sie auf den infizierten Systemen Fuß gefasst hatten, führten die DragonSpark-Bedrohungsakteure verschiedene böswillige Aktivitäten durch, darunter Seitwärtsbewegungen, die Ausweitung von Berechtigungen und die Verbreitung von zusätzlicher Malware und Tools.
„Wir haben beobachtet, dass der Bedrohungsakteur in hohem Maße auf Open-Source-Tools zurückgreift, die von chinesischsprachigen Entwicklern oder chinesischen Anbietern entwickelt wurden“, erklärt Milenkoski.
Zu diesen Tools gehören die Privilegienerweiterungstools SharpToken und BadPotato sowie das plattformübergreifende Fernzugriffstool GotoHTTP, das Funktionen wie die Einrichtung von Persistenz, Dateiübertragung und Bildschirmansicht bietet.
„Zusätzlich zu den oben genannten Tools verwendete der Bedrohungsakteur zwei speziell entwickelte Schadprogramme zur Ausführung von Schadcode: ShellCode_Loader, das in Python implementiert und als PyInstaller-Paket ausgeliefert wurde, und m6699.exe, das in Golang implementiert wurde“, heißt es in der technischen Beschreibung von SentinelLabs.
Milenkoski fügte hinzu, dass SparkRAT eine Multiplattform mit mehreren Funktionen ist und es wahrscheinlich ist, dass das Tool auch in Zukunft für Cyberkriminelle und andere Bedrohungsakteure attraktiv sein wird.
„SentinelLabs beobachtet weiterhin die DragonSpark-Aktivitäten und hofft, dass Verteidiger die in diesem Artikel vorgestellten Erkenntnisse nutzen werden, um ihre Verteidigung zu stärken.“
Der Hinweis kommt einige Monate, nachdem Forscher von Lumen Technologies ein separates Malware-Tool entdeckt haben, das in Golang geschrieben wurde und den Namen „Chaos“ trägt.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
FBI bestätigt, dass die Lazarus-Gruppe hinter dem 100 Millionen Dollar schweren Harmony-Hack steckt