L’acteur chinois de la menace DragonSpark cible les entreprises d’Asie de l’Est – Systeme.io


Des organisations à Taïwan, Hong Kong, Singapour et en Chine ont récemment été confrontées à des attaques de la part d’un acteur menaçant chinois DragonSpark. L’acteur de la menace a été observé en utilisant l’outil open source SparkRAT pour ses attaques, selon un rapport de SentinelOne.

SparkRAT est multiplateforme, riche en fonctionnalités et fréquemment mis à jour avec de nouvelles fonctionnalités, ce qui rend le cheval de Troie d’accès à distance (RAT) attrayant pour les acteurs de la menace.

DragonSpark a été observé en train d’utiliser le malware Golang qui interprète le code source GoLang intégré au moment de l’exécution comme une technique pour entraver l’analyse statique et échapper à la détection par des mécanismes d’analyse statique.

« Cette technique peu courante offre aux acteurs de la menace un autre moyen d’échapper aux mécanismes de détection en masquant les implémentations de logiciels malveillants », a noté SentinelOne.

L’infrastructure de mise en scène des charges utiles est située à Taïwan, à Hong Kong, en Chine et à Singapour, dont certaines appartiennent à des entreprises légitimes. Les serveurs de commande et de contrôle (C2) sont situés à Hong Kong et aux États-Unis, a noté la société de cybersécurité.

Vecteur d’intrusion initial

Les premiers indicateurs des attaques DragonSpark étaient les serveurs Web compromis et les serveurs de base de données MySQL exposés à Internet.

L’exposition des serveurs MySQL à Internet est un défaut de posture de l’infrastructure qui peut entraîner des violations de données, le vol d’informations d’identification ou un mouvement latéral sur les réseaux, a noté SentinetOne.

Sur le serveur compromis, les chercheurs ont observé l’utilisation du webshell China Chopper, un webshell couramment utilisé par les cybercriminels chinois.

« Après avoir accédé aux environnements, l’acteur de la menace a mené une variété d’activités malveillantes, telles que le mouvement latéral, l’élévation des privilèges et le déploiement de logiciels malveillants et d’outils hébergés sur une infrastructure contrôlée par l’attaquant », indique le rapport.

Il a été découvert que l’auteur de la menace utilisait des outils open source tels que SparkRAT, SharpToken, BadPotato et GotoHTTP, qui sont développés par des développeurs ou des fournisseurs chinois parlant chinois.

« En plus des outils ci-dessus, l’acteur de la menace a utilisé deux logiciels malveillants personnalisés pour exécuter du code malveillant : Shellcode loader, implémenté en Python et fourni sous forme de package PyInstaller, et m6699.exe, implémenté dans Golang », a noté SentinelOne.

La genèse de SparkRAT

SparkRAT est un cheval de Troie d’accès à distance développé par le développeur chinois XZB-1248. Le RAT est développé en Golang et publié en tant que logiciel open source. Il prend en charge les systèmes d’exploitation Windows, Linux et macOS.

SparkRAT utilise le protocole WebSocket pour communiquer avec le serveur C2 et dispose d’un système de mise à niveau. Cela permet au RAT de se mettre automatiquement à niveau vers la dernière version disponible sur le serveur C2 au démarrage en émettant une demande de mise à niveau.

« Il s’agit d’une requête HTTP POST, avec le paramètre de requête de validation stockant la version actuelle de l’outil », ont noté les chercheurs.

Dans les attaques analysées par les chercheurs, la version SparkRAT utilisée a été construite le 1er novembre 2022 et a déployé 26 commandes.

« Étant donné que SparkRAT est un outil multiplateforme et riche en fonctionnalités, et qu’il est régulièrement mis à jour avec de nouvelles fonctionnalités, nous estimons que le RAT restera attractif pour les cybercriminels et autres acteurs de la menace à l’avenir », ont déclaré les chercheurs.

DragonSpark utilise également m6699.exe basé sur Golang, pour interpréter le code source encodé à l’exécution et lancer un chargeur de shellcode. Ce chargeur de shellcode initial contacte le serveur C2 et exécute le chargeur de shellcode de l’étape suivante.

Probablement un acteur menaçant parlant chinois

Sur la base de plusieurs indicateurs, les chercheurs affirment qu’il est très probable que DragonSpark soit un acteur menaçant de langue chinoise. « Nous ne sommes pas en mesure à ce stade de lier DragonSpark à un acteur de menace spécifique en raison du manque d’indicateurs fiables spécifiques à l’acteur. L’acteur peut avoir des motivations d’espionnage ou de cybercriminalité », ont déclaré les chercheurs.

En septembre 2022, des chercheurs avaient observé le malware Zegost communiquer avec le même serveur C2 que celui utilisé par DragonSpark. Le malware Zegost est un voleur d’informations historiquement attribué aux cybercriminels chinois, et a également été observé dans le cadre de campagnes d’espionnage.

Des recherches menées par Weibu Intelligence Agency ont affirmé que l’acteur chinois du cybercrime FinGhost utilisait le logiciel malveillant Zegost et une variante de l’échantillon utilisé par DragonSpark.

Les chercheurs ont également noté que l’infrastructure de préparation des logiciels malveillants est située exclusivement en Asie de l’Est – Taiwan, Hong Kong, Chine et Singapour, ce qui est courant parmi les acteurs de la menace de langue chinoise ciblant les victimes dans la région.

« Cette preuve est cohérente avec notre évaluation selon laquelle les attaques DragonSpark sont très probablement orchestrées par un acteur menaçant parlant chinois », a noté SentinelOne.

Copyright © 2023 IDG Communications, Inc.

[ad_3]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *