Исследователи кибербезопасности SentinelLabs сообщают , что китайскоязычная группировка DragonSpark использовала интерпретацию исходного кода ” data-html=”true” data-original-title=”Golang” >Golang, чтобы избежать обнаружения при проведении шпионских атак против организаций в Восточной Азии.
Вектор атаки киберпреступников – уязвимые серверы баз данных MySQL, доступные в Интернете. Злоумышленники получают доступ к уязвимым конечным точкам MySQL и веб-серверов, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей веб-сервера.
Затем злоумышленники развертывают SparkRAT, инструмент с открытым исходным кодом на основе Golang, который может работать в Windows, macOS, Linux и предлагает функции удаленного доступа. SparkRAT поддерживает 26 команд, полученных от C&C-сервера (” data-html=”true” data-original-title=”C2″ >C2), для выполнения следующих действий:
- Удаленно выполнять системные команды PowerShell и Windows;
- Управление функциями Windows и принудительное завершение работы, перезагрузка или приостановка процессов;
- Загрузка, выгрузка или удаление файлов;
- Сбор системной и конфиденциальной информации и передача её на C&C;
- Захват экрана и отправка на сервер злоумышленника;
- Совершать боковое перемещение.
SparkRAT использует протокол WebSocket для связи с C&C-сервером и может автоматически обновляться, постоянно добавляя новые функции.
Помимо SparkRAT, хакеры также используют инструменты SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной системе.
Преимущества интерпретации кода
Кампания отличается тем, что она использует интерпретации исходного кода Golang (с помощью инструмента Yaegi) для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. Это позволяет выполнять код без его предварительной компиляции, чтобы избежать статического анализа.
Также этот скрипт Go используется для открытия обратной оболочки (Reverse Shell), чтобы злоумышленники могли подключиться к ней с помощью Metepreter для удаленного выполнения кода. Этот метод является довольно сложным, но эффективным методом статического анализа, поскольку большинство программ безопасности оценивает только поведение скомпилированного кода, а не исходного кода.
Все open-source инструменты, используемые DragonSpark, были разработаны китайскими разработчиками, что указывает на связи киберпреступников со страной. DragonSpark использовала скомпрометированные сети в Тайване, Гонконге, Китае и Сингапуре, принадлежащие игорным компаниям, художественным галереям, туристическим агентствам и школам.