Las organizaciones en el este de Asia están siendo atacadas por un probable actor de habla china apodado dragónchispa mientras emplea tácticas poco comunes para pasar las capas de seguridad.
«Los ataques se caracterizan por el uso de SparkRAT de código abierto poco conocido y malware que intenta evadir la detección a través de la interpretación del código fuente de Golang», SentinelOne dicho en un análisis publicado hoy.
Un aspecto sorprendente de las intrusiones es el uso constante de SparkRAT para realizar una variedad de actividades, incluido el robo de información, obtener el control de un host infectado o ejecutar instrucciones adicionales de PowerShell.
Los objetivos finales del actor de amenazas aún se desconocen, aunque es probable que el motivo sea el espionaje o el delito cibernético. Los lazos de DragonSpark con China se derivan del uso del shell web de China Chopper para implementar malware, una vía de ataque ampliamente utilizada entre los actores de amenazas chinos.
Además, las herramientas de código abierto utilizadas en los ataques cibernéticos no solo provienen de desarrolladores o empresas con vínculos con China, sino que la infraestructura para organizar las cargas útiles se encuentra en Taiwán, Hong Kong, China y Singapur, algunas de las cuales pertenecen a empresas legítimas. .
Los servidores de comando y control (C2), por otro lado, están ubicados en Hong Kong y EE. UU., dijo la firma de ciberseguridad.
Las vías de acceso iniciales implican comprometer los servidores web expuestos a Internet y los servidores de bases de datos MySQL para eliminar el shell web de China Chopper. Luego, se aprovecha el punto de apoyo para llevar a cabo el movimiento lateral, la escalada de privilegios y la implementación de malware utilizando herramientas de código abierto como SharpToken, patata malay Ir a HTTP.
También se entregan a los hosts malware personalizado capaz de ejecutar código arbitrario y SparkRATun troyano de acceso remoto multiplataforma que puede ejecutar comandos del sistema, manipular archivos y procesos, y desviar información de interés.
Otro malware importante es el m6699.exe basado en Golang, que interpreta en tiempo de ejecución el código fuente que contiene para pasar desapercibido y lanzar un cargador de shellcode que está diseñado para comunicarse con el servidor C2 para obtener y ejecutar la siguiente etapa. código de shell.
«Se sabe que los actores de amenazas de habla china utilizan con frecuencia software de código abierto en campañas maliciosas», concluyeron los investigadores.
«Dado que SparkRAT es una herramienta multiplataforma y rica en funciones, y se actualiza periódicamente con nuevas funciones, estimamos que la RAT seguirá siendo atractiva para los ciberdelincuentes y otros actores de amenazas en el futuro».