Doğu Asya’daki kuruluşlar, muhtemelen Çince konuşan bir aktör tarafından hedef alınıyor. ejderha kıvılcımı güvenlik katmanlarını geçmek için alışılmadık taktikler kullanırken.
SentinelOne, “Saldırılar, az bilinen açık kaynaklı SparkRAT ve Golang kaynak kodunun yorumlanması yoluyla tespit edilmekten kaçmaya çalışan kötü amaçlı yazılımın kullanımıyla karakterize ediliyor.” dedim bugün yayınlanan bir analizde.
İzinsiz girişlerin çarpıcı bir yönü, SparkRAT’ın bilgi çalmak, virüs bulaşmış bir ana bilgisayarın kontrolünü ele geçirmek veya ek PowerShell talimatlarını çalıştırmak dahil olmak üzere çeşitli faaliyetleri yürütmek için tutarlı bir şekilde kullanılmasıdır.
Casusluk veya siber suçların saik olması muhtemel olsa da, tehdit aktörünün nihai hedefleri henüz bilinmiyor. DragonSpark’ın Çin ile olan bağları, Çin tehdit aktörleri arasında yaygın olarak kullanılan bir saldırı yolu olan kötü amaçlı yazılımı dağıtmak için China Chopper web kabuğunun kullanılmasından kaynaklanmaktadır.
Ayrıca, siber saldırılarda kullanılan açık kaynaklı araçlar yalnızca geliştiricilerden veya Çin ile bağlantılı şirketlerden gelmiyor, ayrıca yükleri hazırlamaya yönelik talimatlar Tayvan, Hong Kong, Çin ve Singapur’da bulunuyor ve bunların bir kısmı yasal şirketlere ait. .
Siber güvenlik firması, komuta ve kontrol (C2) sunucularının ise Hong Kong ve ABD’de bulunduğunu söyledi.
İlk erişim yolları, China Chopper web kabuğunu bırakmak için internete açık web sunucularından ve MySQL veritabanı sunucularından ödün verilmesini gerektirir. Dayanak daha sonra, aşağıdaki gibi açık kaynak araçları kullanılarak yanal hareket, ayrıcalık yükseltme ve kötü amaçlı yazılım dağıtımı gerçekleştirmek için kullanılır. Keskin Jeton, KötüPatatesve HTTP’ye Git.
Ayrıca, ana bilgisayarlara rastgele kod yürütme yeteneğine sahip özel kötü amaçlı yazılımlar da gönderilir ve KıvılcımRATsistem komutlarını çalıştırabilen, dosyaları ve işlemleri değiştirebilen ve ilgili bilgileri sifonlayabilen, platformlar arası bir uzaktan erişim truva atı.
Dikkat edilmesi gereken başka bir kötü amaçlı yazılım, çalışma zamanında içinde bulunan kaynak kodunu radarın altında uçacak ve bir sonraki aşamayı getirmek ve yürütmek için C2 sunucusuyla iletişim kurmak üzere tasarlanmış bir kabuk kodu yükleyiciyi başlatacak şekilde yorumlayan Golang tabanlı m6699.exe’dir. kabuk kodu.
Araştırmacılar, “Çince konuşan tehdit aktörlerinin, kötü amaçlı kampanyalarda sıklıkla açık kaynaklı yazılım kullandıkları biliniyor.”
“SparkRAT çok platformlu ve zengin özelliklere sahip bir araç olduğundan ve yeni özelliklerle düzenli olarak güncellendiğinden, RAT’ın gelecekte siber suçlular ve diğer tehdit aktörleri için çekici olmaya devam edeceğini tahmin ediyoruz.”