Atores de ameaças que falam chinês aproveitam ferramentas de código aberto para atingir o leste da Ásia

Os invasores estão aproveitando a infraestrutura comprometida de organizações genuínas, como um varejista de produtos para bebês, uma galeria de arte e sites de jogos e apostas localizados na China, Hong Kong, Cingapura e Taiwan para preparar o SparkRAT, juntamente com outras ferramentas e malware.

Infraestrutura vulnerável

Os pesquisadores do SentinelOne vincularam as ferramentas e táticas usadas na campanha, rastreadas como DragonSpark, a agentes de ameaças que falam chinês.

• Os invasores abusam de servidores da Web e servidores de banco de dados MySQL expostos à Internet para acesso inicial e usam o China Chopper para implantar webshells por meio de injeção de SQL, script entre sites ou vulnerabilidades do servidor da Web.
• Os hackers podem instigar várias atividades maliciosas, como movimento lateral, escalonamento de privilégios e implantação de malware e ferramentas hospedadas na infraestrutura C2 controlada pelo invasor.

Domínio do SparkRAT

O SparkRAT é uma ferramenta multiplataforma baseada em Golang que oferece suporte aos sistemas operacionais Windows, Linux e Mac.

• Nos ataques recentes, o agente da ameaça usou uma variante do SparkRAT criada em 1º de novembro de 2022. Ele suporta 26 comandos que implementam uma ampla gama de funcionalidades, como manipulação do sistema de execução de comandos, manipulação de arquivos e processos e roubo de informações.
• Além disso, a ferramenta possui um sistema de atualização e utiliza o protocolo WebSocket para se comunicar com o servidor C2. Isso permite que ele se atualize automaticamente para a versão mais recente disponível no servidor C2 na inicialização, emitindo uma solicitação de atualização.

Baseando-se em ferramentas de código aberto

Esses invasores dependem fortemente de muitas outras ferramentas de código aberto , como BadPotato, SharpToken, GotoHTTP, ShellCode_Loader e m6699[.]exe – todas desenvolvidas por fornecedores chineses

• BadPotato e SharpToken são ferramentas de escalonamento de privilégios que permitem a execução de comandos do Windows com privilégios de SISTEMA.
• GotoHTTP é uma ferramenta de acesso remoto multiplataforma que implementa uma ampla gama de recursos, como estabelecimento de persistência, transferência de arquivos e exibição de tela.
• O grupo usou um malware personalizado chamado ShellCode_Loader para executar código malicioso. Ele é implementado em Python e entregue como um pacote PyInstaller.
• Outro notável malware Golang criado sob medida é o m6699[.]exe, que implementa a interpretação do código-fonte Golang em tempo de execução. Essa técnica incomum permite que os agentes de ameaças dificultem a análise estática e evitem a detecção por mecanismos de análise estática.

Hackers chineses estão compartilhando ferramentas

As ferramentas de código aberto mencionadas anteriormente foram utilizadas anteriormente por muitos outros agentes de ameaças chineses em suas campanhas de ataque.

• No final de dezembro de 2022, a Microsoft relatou indicações de agentes de ameaças usando o SparkRAT. No entanto, não há evidências ligando essas duas atividades.
• Zegost , um malware ladrão de informações historicamente atribuído ao grupo cibercriminoso chinês FinGhost , teve como alvo uma entidade governamental chinesa em setembro de 2022. Notavelmente, os pesquisadores encontraram um endereço IP C2 comum entre os ataques Zegost e DragonSpark.

Historicamente, o webshell do China Chopper tem sido usado por cibercriminosos e grupos de espionagem chineses, como o TG-3390 e o Leviathan.

Conclusão

O DragonSpark abusa do software de código aberto e do malware baseado em Golang para evitar os mecanismos de detecção ofuscando as implementações de malware. Isso indica que os agentes de ameaças de língua chinesa ainda estão expandindo ativamente seu arsenal e compartilhando ferramentas entre si para lançar ataques bem-sucedidos. Especialistas estimam que o SparkRAT continuará atraente para cibercriminosos e outros agentes de ameaças no futuro.

Fonte: https://cyware.com/