东亚的组织可能成为被称为 DragonSpark 的讲中文的攻击者的目标,同时采用不寻常的策略来绕过安全层。
中国黑客利用恶意软件和攻击的特点是使用开源 SparkRAT 和试图通过 Golang 源代码解释逃避检测的恶意软件。
入侵的一个显着方面是持续使用 SparkRAT 进行各种活动,包括窃取信息、获得对受感染主机的控制以及运行额外的 PowerShell 指令。
间谍活动或网络犯罪可能是动机。 DragonSpark 与中国的联系源于使用 China Chopper web shell 部署恶意软件,这是一种广泛使用的攻击途径。
此外,网络攻击中使用的开源工具来自与中国有联系的开发商或公司,用于部署有效载荷的基础设施位于台湾、香港、中国和新加坡,其中一些属于合法企业。
命令和控制(C2)服务器位于香港和美国
最初的访问途径需要妥协暴露在互联网上的 Web 服务器和 MySQL 数据库服务器以删除 China Chopper web shell。
利用该立足点进行横向移动,使用开源工具进行特权升级和恶意软件部署。
它还交付给主机的是能够执行任意代码的自定义恶意软件和 SparkRAT,这是一种跨平台远程访问木马,运行系统命令来操纵文件和进程以及虹吸感兴趣的信息。
另一个值得注意的恶意软件是基于 Golang 的 m6699.exe,它在运行时解释其中包含的源代码以在雷达下飞行并启动 shellcode 加载程序,该加载程序设计用于联系 C2 服务器以获取和执行下一阶段的 shellcode。
SparkRAT 是一个多平台且功能丰富的工具,会定期更新新功能。
简体中文 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada