不明黑客组织利用SparkRAT攻击东亚服务器

关键要点

• 不明黑客组织正在使用远程访问工具SparkRAT以及其他合法和恶意工具，主要针对东亚的互联网服务器。
• Sentinel One的研究表明，这一活动群体名为“DragonSpark”，目前尚无法将其与任何已知的国家或经济利益驱动的黑客组织联系起来。
• SparkRAT是一种功能丰富、多平台的工具，支持Windows、Linux和Mac操作系统，存在多达26条不同的命令。
• 研究显示，DragonSpark也使用了多种由讲中文的开发者创建的开源工具，表明这类工具在恶意黑客中正变得越来越流行。

根据SentinelOne的最新研究，一个不明组织正在使用名为SparkRAT的远程访问工具，以及其他合法和恶意工具，主要针对东亚地区的互联网服务器。高级威胁研究人员AleksandarMilenkoski向SCMedia表示，他们称这一行动为“DragonSpark”，并且这一活动群体迄今尚未与任何已知的国家赞助或经济动机驱动的黑客组织关联。

SparkRAT的特点

SparkRAT是一种用Go语言编写的工具，Go语言近年来逐渐被用于构建合法工具和恶意软件。研究发现，使用同一工具的黑客还在利用，以避开静态检测和分析技术。研究团队观察到的版本创建于2022年11月1日，能够执行包括命令执行、系统操作、文件和进程操作以及数据外泄在内的多达26条命令。

“综合所有这些因素，[SparkRAT]是一个非常功能丰富且多平台的工具，能够在不同受害者环境中重复使用。我们得出结论，他们可能采用它是因为它对他们而言非常实用，”Milenkoski说道。

SparkRAT的普遍性

这些发现增强了关于这一较少人知的开源工具逐渐被恶意黑客广泛使用的证据。今年12月，微软曾声称威胁行为者越来越依赖SparkRAT，但尚不清楚DragonSpark背后的行为者是否包括在此评估中。

除了SparkRAT，DragonSpark还使用了多种由讲中文的程序员或供应商开发的开源工具，包括SharpToken和BadPotato（用于查找和利用访问凭证以提升权限的工具）以及GoToHTTP，这是一种，可以被恶意行为者用于在受害者网络中维持持久性。

这些工具的使用，以及DragonSpark还利用中国木马（ChinaChopper），这是一种被许多中国高级持续威胁（APT）组所青睐的网页后门，加上针对东亚地区的受害者的总体关注，导致评估这些行为者“极有可能”也是讲中文的人士。证据主要基于从受害者环境中提取的技术指标、在东亚地区的恶意软件部署基础设施的位置（这是中国网络犯罪组织的常见选择）以及DragonSpark与其他讲中文的威胁团体使用的工具或服务器之间的重叠。

尽管如此，该公司并未将这种活动与北京或任何已知的国家赞助的APT联系起来。Milenkoski在接受SCMedia采访时表示，他们迄今为止收集的证据并没有提供明确的指示，表明这次入侵的最终目标是财务性、间谍性还是两者兼而有之。

虽然这样的证据通常可以指示特定威胁行为者的区域或语言偏好，但一个黑客组织使用另一个的首选工具以掩盖其身份并非不可能，因此研究人员在进行归属方面的结论时保持谨慎。

“我们对此非常小心，出于多种原因，我们故意使用‘讲中文’这个词，”Milenkoski表示。