
Die neuartige Technik einer chinesisch-sprachigen Cybergruppe basiert auf dem bisher wenig bekanntem Tool SparkRAT und nutzt Golang-Quellcode-Interpretation, um sich der Entdeckung zu entziehen und Ziele in Ostasien ins Visier zu nehmen
SentinelLabs, die Research-Abteilung von SentinelOne, veröffentlicht Analysen zu jüngsten Angriffen gegen ostasiatische Organisationen, die unter dem Namen „DragonSpark“ zusammengefasst werden. Die Attacken zeichnen sich durch die Verwendung der Golang-Malware aus, die versucht, Schadsoftware zu verschleiern und Ziele auf diese Weise unentdeckt zu infiltrieren. Die DragonSpark-Angriffe stellen die ersten nachgewiesenen Cyberangriffe dar, bei denen die konsequente Verwendung der Open Source-Software SparkRAT festgestellt werden konnte – ein relativ neues Phänomen in der Bedrohungslandschaft. SparkRAT ist plattformübergreifend, funktionsreich und wird häufig mit neuen Features aktualisiert, was den RAT (Remote Access Trojaner) für Bedrohungsakteure attraktiv macht.
Der chinesisch-sprachige Bedrohungsakteur hinter den DragonSpark-Angriffen setzt Schadsoftware ein, die den eingebetteten Golang-Quellcode zur Laufzeit interpretiert, um eine Detektion durch statische Analysen zu verhindern. Diese ungewöhnliche Technik bietet den Angreifern eine raffinierte Möglichkeit, Erkennungsmechanismen zu umgehen, indem Malware-Implementierungen verschleiert werden.
Einfallsvektoren und Funktionsweise der Attacken
Die DragonSpark-Angriffe beginnen in der Regel durch die Kompromittierung von Webservern und MySQL-Datenbankservern, die dem Internet ausgesetzt sind. Offene MySQL-Server sind eine Schwachstelle in der Infrastruktur und führen häufig zu schwerwiegenden Vorfällen, die Datenverletzungen, den Diebstahl von Anmeldeinformationen oder laterale Bewegungen über Netzwerke hinweg beinhalten. Bei den kompromittierten Webservern wurde die Verwendung der China Chopper-Webshell beobachtet, die an der „&echo [S]&cd&echo [E]“-Sequenz in virtuellen Terminalanfragen zu erkennen ist. China Chopper wird häufig von chinesischen Bedrohungsakteuren verwendet, die dafür bekannt sind, die Webshell über verschiedene Vektoren einzusetzen, z. B. durch Ausnutzung von Webserver-Schwachstellen, Cross-Site-Scripting oder SQL-Injektionen.
Im Anschluss an den initialen Zugriff folgten meist laterale Bewegungen sowie die Ausweitung von Berechtigungen und die Bereitstellung von Malware und Tools, die in der vom Angreifer kontrollierten Infrastruktur gehostet werden. Es konnte festgestellt werden, dass der Bedrohungsakteur in hohem Maße auf Open-Source-Tools zurückgreift, die von chinesisch-sprachigen Entwicklern oder chinesischen Anbietern entwickelt wurden. Dazu gehören SparkRAT sowie andere Tools, wie z. B.:
- SharpToken: ein Tool zur Erweiterung von Provilegien, das die Ausführung von Windows-Befehlen mit SYSTEM-Rechten ermöglicht. Das Tool ermöglicht auch das Aufzählen von Benutzer- und Prozessinformationen sowie das Hinzufügen, Löschen oder Ändern der Kennwörter von Systembenutzern.
- BadPotato: ein Tool, das SharpToken ähnelt und die Benutzerrechte auf das SYSTEM-Level erhöht, um Befehle auszuführen. Das Tool wurde in einer Angriffskampagne beobachtet, die von einem chinesischen Bedrohungsakteur zu Spionage-Zwecken durchgeführt wurde.
- GotoHTTP: ein plattformübergreifendes Tool für den Fernzugriff, das eine breite Palette von Funktionen implementiert, z. B. die Einrichtung von Persistenz, Dateiübertragung und Bildschirmansicht.
Zusätzlich zu den oben genannten Tools verwendete der Bedrohungsakteur zwei speziell angefertigte Schadprogramme zur Ausführung von bösartigem Code: ShellCode_Loader, das in Python implementiert ist und als PyInstaller-Paket geliefert wird, und m6699.exe, das in Golang implementiert ist.
Wer ist verantwortlich für die Angriffe?
Im September 2022, einige Wochen bevor die ersten DragonSpark-Indikatoren entdeckt wurden, wurde berichtet, dass eine Variante der Info-Stealer-Malware Zegost mit derselben C2-IP-Adresse kommunizierte, die auch Teil der DragonSpark-Angriffe war. Zegost wird traditionell chinesischen Cyberkriminellen zugeschrieben, wurde aber auch im Rahmen von Spionagekampagnen beobachtet. Die Forscher von SentinelLabs halten es für sehr wahrscheinlich, dass ein chinesisch-sprachiger Bedrohungsakteur hinter den DragonSpark-Angriffen steckt. Zum jetzigen Zeitpunkt ist es jedoch aufgrund des Mangels spezifischer Indikatoren nicht möglich, die Attacken einem konkreten Akteur zuzuschreiben.
Weitere Informationen zur Analyse und technische Details finden Sie hier: https://s1.ai/Spark
Fachartikel

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
Studien

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Whitepaper

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
