mardi, 31 janvier 2023

L’acteur chinois de la menace DragonSpark cible les entreprises singapouriennes

Crédit : Dreamstime

Des organisations à Singapour, Taïwan, Hong Kong et en Chine ont récemment été face aux attaques d’un acteur de danger chinois DragonSpark. Selon un rapport de SentinelOne, la star du risque a été observée en train d’utiliser l’outil open source SparkRAT pour ses attaques.

SparkRAT est multiplateforme, riche en fonctionnalités et souvent mis à jour avec de toutes nouvelles fonctionnalités, ce qui rend le Remote Accédez au cheval de Troie (RAT) attrayant pour les acteurs du danger.

DragonSpark a été observé en utilisant le malware Golang qui traduit le code source GoLang intégré au moment de l’exécution comme stratégie pour empêcher l’analyse statique et échapper à la détection par des mécanismes d’analyse statique.

« Cette technique inhabituelle offre aux acteurs du danger une autre suggestion pour éviter les systèmes de détection en masquant les implémentations de logiciels malveillants », a déclaré SentinelOne. esprit.

L’infrastructure pour organiser les charges utiles se trouve à Singapour, à Taïwan, à Hong Kong et en Chine, dont quelques-unes proviennent d’entreprises légitimes. Les serveurs de commande et de contrôle (C2) sont situés à Hong Kong et aux États-Unis, a noté la société de cybersécurité.

Vecteur d’intrusion préliminaire

Les premiers signes des attaques DragonSpark étaient les serveurs Web compromis et les serveurs de base de données MySQL exposés à Internet.

L’exposition des serveurs MySQL au Web est une faille de posture des installations qui peut entraîner des violations d’informations, le vol d’informations d’identification, ou mouvement latéral à travers les réseaux, SentinelOne a gardé à l’esprit. Sur le serveur compromis, les scientifiques ont observé l’utilisation du webshell China Chopper, un webshell couramment utilisé par les stars chinoises du risque.

« Après avoir eu accès aux environnements, l’acteur du danger a mené une série d’activités nuisibles, telles que le mouvement latéral, l’élévation des privilèges et la mise en œuvre de logiciels malveillants et d’outils hébergés sur une infrastructure contrôlée par l’attaquant », indique le rapport.

Il a été découvert que l’acteur à risque utilisait des outils open source tels que SparkRAT, SharpToken, BadPotato et GotoHTTP, qui sont développés par des concepteurs ou des fournisseurs chinois parlant chinois.

« En plus des outils ci-dessus, la star de la menace a utilisé 2 logiciels malveillants personnalisés pour exécuter du code destructeur : Shellcode loader, implémenté en Python et fourni sous la forme d’un plan PyInstaller , et m6699.exe, exécuté dans Golang », a noté SentinelOne.

La genèse de SparkRAT

SparkRAT est un cheval de Troie d’accès à distance développé par des développeur XZB-1248. Le RAT est établi à Golang et lancé en tant que logiciel open source. Il prend en charge les systèmes d’exploitation Windows, Linux et macOS.

SparkRAT utilise la procédure WebSocket pour communiquer avec le serveur C2 et inclut un système de mise à niveau. Cela permet au RAT de se mettre automatiquement à jour avec la variante la plus récente disponible sur le serveur C2 au démarrage en émettant une demande de mise à niveau.

« Il s’agit d’une requête HTTP POST, avec le paramètre de question dédiée stockant la version actuelle de l’outil », ont gardé à l’esprit les scientifiques.

Dans les attaques évaluées par les chercheurs, la variante SparkRAT utilisée a été construite le 1er novembre 2022 et a déployé 26 commandes.

« Étant donné que SparkRAT est un outil multiplateforme et riche en fonctionnalités, et qu’il est régulièrement mis à jour avec de toutes nouvelles fonctions, nous estimons que le RAT restera attrayant pour les cybercriminels et autres acteurs de la menace à l’avenir », ont déclaré les chercheurs.

DragonSpark utilise également m6699.exe basé sur Golang, pour traduire le code source encodé à l’exécution et lancer un chargeur de shellcode. Ce chargeur de shellcode initial contacte le serveur C2 et exécute le chargeur de shellcode de l’étape suivante.

Probablement un acteur de danger parlant chinois

Basé sur de nombreux indicateurs , les chercheurs disent qu’il est fort probable que DragonSpark soit un acteur de danger parlant chinois. « Nous ne sommes pas en mesure pour le moment de relier DragonSpark à un acteur de danger spécifique en raison de l’absence d’indications fiables spécifiques à l’acteur. La star peut avoir des motivations d’espionnage ou de cybercriminalité », ont déclaré les chercheurs.

En septembre 2022, les scientifiques avaient observé le malware Zegost communiquer avec le même serveur C2 qui est utilisé par DragonSpark. Le malware Zegost est un voleur d’informations historiquement attribué aux cybercriminels chinois, et a également été observé dans le cadre de campagnes d’espionnage.

Une étude de Weibu Intelligence Company a déclaré que la star chinoise de la cybercriminalité FinGhost utilisait le malware Zegost, et une variante de l’échantillon utilisé par DragonSpark.

Les scientifiques ont également noté que l’infrastructure de mise en scène des logiciels malveillants est située uniquement à Singapour, à Taïwan, à Hong Kong et en Chine, ce qui prévaut parmi les acteurs de danger de langue chinoise ciblant les victimes dans la région.

« Cette preuve fait suite à notre évaluation selon laquelle les attaques DragonSpark sont très probablement gérées par un acteur à risque parlant chinois », a noté SentinelOne.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici