DragonSpark – SentinelLabs untersucht Cyberangriffe eines neuen Bedrohungsakteurs in Ostasien

5. April 2024

Die neuartige Technik einer chinesisch-sprachigen Cybergruppe basiert auf dem bisher wenig bekanntem Tool SparkRAT und nutzt Golang-Quellcode-Interpretation, um sich der Entdeckung zu entziehen und Ziele in Ostasien ins Visier zu nehmen

SentinelLabs, die Research-Abteilung von SentinelOne, veröffentlicht Analysen zu jüngsten Angriffen gegen ostasiatische Organisationen, die unter dem Namen „DragonSpark“ zusammengefasst werden. Die Attacken zeichnen sich durch die Verwendung der Golang-Malware aus, die versucht, Schadsoftware zu verschleiern und Ziele auf diese Weise unentdeckt zu infiltrieren. Die DragonSpark-Angriffe stellen die ersten nachgewiesenen Cyberangriffe dar, bei denen die konsequente Verwendung der Open Source-Software SparkRAT festgestellt werden konnte – ein relativ neues Phänomen in der Bedrohungslandschaft. SparkRAT ist plattformübergreifend, funktionsreich und wird häufig mit neuen Features aktualisiert, was den RAT (Remote Access Trojaner) für Bedrohungsakteure attraktiv macht.

Der chinesisch-sprachige Bedrohungsakteur hinter den DragonSpark-Angriffen setzt Schadsoftware ein, die den eingebetteten Golang-Quellcode zur Laufzeit interpretiert, um eine Detektion durch statische Analysen zu verhindern. Diese ungewöhnliche Technik bietet den Angreifern eine raffinierte Möglichkeit, Erkennungsmechanismen zu umgehen, indem Malware-Implementierungen verschleiert werden.

Einfallsvektoren und Funktionsweise der Attacken

Die DragonSpark-Angriffe beginnen in der Regel durch die Kompromittierung von Webservern und MySQL-Datenbankservern, die dem Internet ausgesetzt sind. Offene MySQL-Server sind eine Schwachstelle in der Infrastruktur und führen häufig zu schwerwiegenden Vorfällen, die Datenverletzungen, den Diebstahl von Anmeldeinformationen oder laterale Bewegungen über Netzwerke hinweg beinhalten. Bei den kompromittierten Webservern wurde die Verwendung der China Chopper-Webshell beobachtet, die an der „&echo [S]&cd&echo [E]“-Sequenz in virtuellen Terminalanfragen zu erkennen ist. China Chopper wird häufig von chinesischen Bedrohungsakteuren verwendet, die dafür bekannt sind, die Webshell über verschiedene Vektoren einzusetzen, z. B. durch Ausnutzung von Webserver-Schwachstellen, Cross-Site-Scripting oder SQL-Injektionen.

Im Anschluss an den initialen Zugriff folgten meist laterale Bewegungen sowie die Ausweitung von Berechtigungen und die Bereitstellung von Malware und Tools, die in der vom Angreifer kontrollierten Infrastruktur gehostet werden. Es konnte festgestellt werden, dass der Bedrohungsakteur in hohem Maße auf Open-Source-Tools zurückgreift, die von chinesisch-sprachigen Entwicklern oder chinesischen Anbietern entwickelt wurden. Dazu gehören SparkRAT sowie andere Tools, wie z. B.:

• SharpToken: ein Tool zur Erweiterung von Provilegien, das die Ausführung von Windows-Befehlen mit SYSTEM-Rechten ermöglicht. Das Tool ermöglicht auch das Aufzählen von Benutzer- und Prozessinformationen sowie das Hinzufügen, Löschen oder Ändern der Kennwörter von Systembenutzern.
• BadPotato: ein Tool, das SharpToken ähnelt und die Benutzerrechte auf das SYSTEM-Level erhöht, um Befehle auszuführen. Das Tool wurde in einer Angriffskampagne beobachtet, die von einem chinesischen Bedrohungsakteur zu Spionage-Zwecken durchgeführt wurde.
• GotoHTTP: ein plattformübergreifendes Tool für den Fernzugriff, das eine breite Palette von Funktionen implementiert, z. B. die Einrichtung von Persistenz, Dateiübertragung und Bildschirmansicht.

Zusätzlich zu den oben genannten Tools verwendete der Bedrohungsakteur zwei speziell angefertigte Schadprogramme zur Ausführung von bösartigem Code: ShellCode_Loader, das in Python implementiert ist und als PyInstaller-Paket geliefert wird, und m6699.exe, das in Golang implementiert ist.

Wer ist verantwortlich für die Angriffe?

Im September 2022, einige Wochen bevor die ersten DragonSpark-Indikatoren entdeckt wurden, wurde berichtet, dass eine Variante der Info-Stealer-Malware Zegost mit derselben C2-IP-Adresse kommunizierte, die auch Teil der DragonSpark-Angriffe war. Zegost wird traditionell chinesischen Cyberkriminellen zugeschrieben, wurde aber auch im Rahmen von Spionagekampagnen beobachtet. Die Forscher von SentinelLabs halten es für sehr wahrscheinlich, dass ein chinesisch-sprachiger Bedrohungsakteur hinter den DragonSpark-Angriffen steckt. Zum jetzigen Zeitpunkt ist es jedoch aufgrund des Mangels spezifischer Indikatoren nicht möglich, die Attacken einem konkreten Akteur zuzuschreiben.

Weitere Informationen zur Analyse und technische Details finden Sie hier: https://s1.ai/Spark