• Votre panier est vide.

  • LOGIN

Les pirates chinois utilisent le logiciel malveillant Golang dans les attaques DragonSpark pour échapper à la détection


Certains articles de veille peuvent faire l'objet de traduction automatique.


24 janvier 2023Ravie LakshmananCyber ​​espionnage / Golang

Les organisations d’Asie de l’Est sont ciblées par un acteur probablement parlant chinois surnommé DragonÉtincelle tout en employant des tactiques inhabituelles pour contourner les couches de sécurité.

« Les attaques se caractérisent par l’utilisation du SparkRAT open source peu connu et de logiciels malveillants qui tentent d’échapper à la détection via l’interprétation du code source Golang », a déclaré SentinelOne. m’a dit dans une analyse publiée aujourd’hui.

Un aspect frappant des intrusions est l’utilisation cohérente de SparkRAT pour mener diverses activités, notamment le vol d’informations, l’obtention du contrôle d’un hôte infecté ou l’exécution d’instructions PowerShell supplémentaires.

Les objectifs finaux de l’acteur menaçant restent encore inconnus, bien que l’espionnage ou la cybercriminalité en soit probablement le mobile. Les liens de DragonSpark avec la Chine découlent de l’utilisation du shell Web China Chopper pour déployer des logiciels malveillants – une voie d’attaque largement utilisée par les acteurs chinois de la menace.

De plus, non seulement les outils open source utilisés dans les cyberattaques proviennent de développeurs ou d’entreprises ayant des liens avec la Chine, mais l’infrastructure de mise en scène des charges utiles est située à Taïwan, Hong Kong, Chine et Singapour, dont certaines appartiennent à des entreprises légitimes. .

Les serveurs de commande et de contrôle (C2), en revanche, sont situés à Hong Kong et aux États-Unis, a indiqué la société de cybersécurité.

Logiciel malveillant Golang

Les voies d’accès initiales impliquent de compromettre les serveurs Web exposés à Internet et les serveurs de base de données MySQL pour supprimer le shell Web China Chopper. La prise de pied est ensuite exploitée pour effectuer un mouvement latéral, une escalade de privilèges et le déploiement de logiciels malveillants à l’aide d’outils open source tels que SharpToken, BadPotatoet GotoHTTP.

Des logiciels malveillants personnalisés sont également livrés aux hôtes, capables d’exécuter du code arbitraire et SparkRATun cheval de Troie d’accès à distance multiplateforme capable d’exécuter des commandes système, de manipuler des fichiers et des processus et de siphonner des informations intéressantes.

Un autre logiciel malveillant à noter est le m6699.exe basé sur Golang, qui interprète au moment de l’exécution le code source qu’il contient afin de voler sous le radar et de lancer un chargeur de shellcode conçu pour contacter le serveur C2 pour récupérer et exécuter l’étape suivante. shellcode.

« Les acteurs de la menace de langue chinoise sont connus pour utiliser fréquemment des logiciels open source dans des campagnes malveillantes », ont conclu les chercheurs.

« Étant donné que SparkRAT est un outil multiplateforme et riche en fonctionnalités, et qu’il est régulièrement mis à jour avec de nouvelles fonctionnalités, nous estimons que le RAT restera attractif pour les cybercriminels et autres acteurs de la menace à l’avenir. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

janvier 24, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)