Неизвестное вредоносное ПО терроризирует игорные компании

• 25 января, 2023
• 11:30

Исследователи кибербезопасности SentinelLabs сообщают , что китайскоязычная группировка DragonSpark использовала интерпретацию исходного кода Go (часто также «Golang») – компилируемый многопоточный язык программирования, разработанный внутри компании Google. Официально язык был представлен в ноябре 2009 года. На данный момент поддержка официального компилятора, разрабатываемого создателями языка, осуществляется для операционных систем FreeBSD, OpenBSD, Linux, macOS, Windows, DragonFly BSD, Plan 9, Solaris, Android, AIX.

» data-html=»true» data-original-title=»Golang»>Golang, чтобы избежать обнаружения при проведении шпионских атак против организаций в Восточной Азии.

Вектор атаки киберпреступников — уязвимые серверы баз данных MySQL, доступные в Интернете. Злоумышленники получают доступ к уязвимым конечным точкам MySQL и веб-серверов, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей веб-сервера.

Затем злоумышленники развертывают SparkRAT, инструмент с открытым исходным кодом на основе Golang, который может работать в Windows, macOS, Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.

» data-html=»true» data-original-title=»Linux»>Linux и предлагает функции удаленного доступа. SparkRAT поддерживает 26 команд, полученных от C&C-сервера (Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.

» data-html=»true» data-original-title=»C2″>C2), для выполнения следующих действий:

• Удаленно выполнять системные команды PowerShell и Windows;
• Управление функциями Windows и принудительное завершение работы, перезагрузка или приостановка процессов;
• Загрузка, выгрузка или удаление файлов;
• Сбор системной и конфиденциальной информации и передача её на C&C;
• Захват экрана и отправка на сервер злоумышленника;
• Совершать Боковое перемещение (Lateral Movement) — техника, используемая хакерами для постепенного продвижения от взломанной точки входа к остальной части сети в поисках конфиденциальных данных или других ценных активов для утечки.

» data-html=»true» data-original-title=»Боковое перемещение»>боковое перемещение.

SparkRAT использует протокол WebSocket для связи с C&C-сервером и может автоматически обновляться, постоянно добавляя новые функции.

Помимо SparkRAT, хакеры также используют инструменты SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной системе.

Преимущества интерпретации кода

Кампания отличается тем, что она использует интерпретации исходного кода Golang (с помощью инструмента Yaegi) для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. Это позволяет выполнять код без его предварительной компиляции, чтобы избежать статического анализа.

Также этот скрипт Go используется для открытия обратной оболочки (Reverse Shell), чтобы злоумышленники могли подключиться к ней с помощью Metepreter для удаленного выполнения кода. Этот метод является довольно сложным, но эффективным методом статического анализа, поскольку большинство программ безопасности оценивает только поведение скомпилированного кода, а не исходного кода.

Все open-source инструменты, используемые DragonSpark, были разработаны китайскими разработчиками, что указывает на связи киберпреступников со страной. DragonSpark использовала скомпрометированные сети в Тайване, Гонконге, Китае и Сингапуре, принадлежащие игорным компаниям, художественным галереям, туристическим агентствам и школам.