Рост распространения SparkRAT: угроза кибершпионажа усиливается
В 2022 году на GitHub была впервые опубликована вредоносная программа SparkRAT пользователем XZB-1248. С тех пор она завоевала популярность благодаря своей модульной конструкции, веб-интерфейсу и совместимости с системами Windows, macOS и Linux. В последние месяцы SparkRAT была замечена в операциях кибершпионажа, нацеленных на государственные структуры, а также использовалась в постэксплуатационной деятельности, связанной с уязвимостью CVE-2024-27198.
Технические особенности и методы работы
SparkRAT, разработанная на языке Golang, использует WebSocket для связи со своим сервером управления (C2) и HTTP для проверки версии. Вот ключевые аспекты её работы:
- По умолчанию сервер C2 прослушивает порт 8000, но эту настройку можно легко изменить.
- Вредоносная программа использует базовую аутентификацию по протоколу HTTP, что требует ввода имени пользователя и пароля из файла конфигурации.
- Идентифицируемые отпечатки пальцев SparkRAT могут быть использованы для обнаружения серверов в сети с помощью изучения заголовков и JSON-ответов.
Новые тактики и распространение
Недавние наблюдения показали, что SparkRAT активно распространяется в рамках подозрительной кампании, связанной с Северной Кореей, которая нацелена на пользователей macOS через поддельные страницы собраний. Это свидетельствует о:
- Изменениях в методах доставки SparkRAT, отличающихся от ранее известных.
- Увеличении сложности и изощренности стратегий хакеров.
Примечательный инцидент произошел с открытым сервером в Сеуле, где были обнаружены характеристики, связанные с инфраструктурой, имеющей отношение к КНДР, включая наличие сервера UCLOUD ASN и стек серверов Apache HTTPD.
Зловредная активность и последствия
Каталог сервера содержал:
- Импланты SparkRAT;
- Скрипты bash (dev.sh и test.sh), использующие curl для загрузки client.bin;
- Файл клиента SparkRAT (client.bin), который был признан вредоносным рядом антивирусов и устанавливает постоянный механизм, созидая и удаляя указанный файл каждые 10 минут.
Кроме того, в ходе анализа был выявлен другой сервер SparkRAT C2, обозначенный как domain updatetiker.сайт, работающий на порту 8000 по умолчанию и демонстрирующий поведение, схожее с ранее обнаруженными экземплярами SparkRAT.
Перспективы киберугрозы
Универсальность SparkRAT и её возможность адаптироваться к различным платформам подчеркивают её статус постоянной угрозы. Исследование акцентирует внимание на важности тщательного анализа инфраструктуры и артефактов SparkRAT для:
- Выявления вредоносной деятельности;
- Упреждающего мониторинга угроз.
Обнаружение подозрительного APK-файла, связанного с имитацией вьетнамской платформы онлайн-игр, указывает на эволюцию тактики злоумышленников, стремящихся к обману пользователей.
Заключение
Исследовательская группа планирует продолжить совершенствование методов обнаружения, расширить зону сканирования за пределы портов, используемых по умолчанию, и отслеживать дополнительную инфраструктуру SparkRAT. Это необходимо для предоставления оперативной информации обществу безопасности, что поможет в борьбе с этой постоянной угрозой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
