Araştırmacılar, MacOS kullanıcılarını ve devlet kuruluşlarını hedefleyen kötü amaçlı kampanyalarda kalıcı kullanımına ışık tutarak, Sparkrat operasyonlarındaki yeni gelişmeleri ortaya çıkardılar.
Yakın tarihli bir raporda ayrıntılı olarak açıklanan bulgular, Sparkrat’ın modüler çerçevesini ve Windows, MacOS ve Linux üzerindeki platformlar arası yeteneklerden yararlanan tehdit aktörlerinin gelişen taktiklerinin altını çiziyor.
Sparked’in İletişimi
Başlangıçta GitHub’da 2022’de XZB-1248 kullanıcısı tarafından yayınlanan Sparkrat, uyarlanabilirliği, kullanıcı dostu web arayüzü ve çok platform uyumluluğu ile ünlü bir uzaktan erişim Truva atıdır (sıçan).
Kötü amaçlı yazılım, WebSocket tabanlı iletişim kullanarak bir komut ve kontrol (C2) sunucusu aracılığıyla çalışır ve deposundaki güncellemeleri doğrulamak için HTTP Post isteklerine geçer.
Varsayılan olarak, C2 sunucuları, Sparkrat altyapısının algılanmasını kolaylaştıran bir özellik olan 8000 bağlantı noktasında yapılandırılır.
Şüpheli C2 panellerinde HTTP temel kimlik doğrulama istemleri ve minimalist HTTP yanıt başlıkları gibi kritik göstergeler tanımlanmıştır. Server Ve Content-Type.
Güvenlik analistleri, Sparkrat dağıtımlarına özgü tanımlayıcıları ortaya çıkarabilen C2 sunucularından JSON yanıtlarını analiz etmenin önemini vurguladılar.
DPRK bağlantılı kampanyalar
Kasım 2024’te araştırmacılar, Sparkrat’ı muhtemelen Kuzey Kore’den (DPRK) kaynaklanan siber casusluk operasyonlarına bağladılar.
Kampanya, kötü amaçlı yazılımları toplantı platformları olarak maskelenen alan adlarını kullanarak dağıttı.
Gelişmiş taramalar, Sparkrat implantlarını barındıran açık dizinlere sahip üç etkin C2 sunucusu tanımladı. Bu etkinlikte yer alan dikkate değer IP’ler şunları içerir:
- 152.32.138[.]108 (Seul, Kore)
- 15.235.130[.]160 (Singapur)
- 118.194.249[.]38 (Seul, Kore)
Bir sunucuda, altında açıkta kalan bir dizin /dev gibi kötü niyetli dosyalar ortaya çıkardı client.bin (bir kıvılcım ikili) ve komut dosyaları (dev.sh Ve test.sh) bu kaldıraç curl yükü indirmek için.
Komut dosyaları yükü ile yürütür chmod 777 İzinler, konfigürasyon değişiklikleri yoluyla kalıcılığın kolaylaştırılması.
SHA-256 karma ile tanımlanan Sparkrat ikili cd313c9b706c2ba9f50d338305c456ad3392572efe387a83093b09d2cb6f1b56ek C2 altyapısı ile TCP bağlantıları oluşturur.
Diğer sunucularda, benzer ikili dosyalar keşfedildi, ancak hafif değişiklikler içeriyordu, ancak Port 8000 ile sık temas gibi önemli kötü niyetli davranışları korudu.
Vietnam’a bakan bir oyun platformunda endişe verici bir keşif yapıldı, One68[.]Sparkrat etkinliğine bağlı bir Android APK dağıtan üst.
APK, WebSocket bağlantılarını CloudFlare korumalı sunucular aracılığıyla başlatarak ilişkilendirme çabalarını karmaşıklaştırır.
Hunt, APK dosyasını kaydetti (one68_1_1.0.apkSha-256: ffe4cfde23a1ef557f7dc56f53b3713d8faa9e47ae6562b61ffa1887e5d2d56e) ve davranışını veri açığa vurma ve kalıcı arka kapı işlevselliği ile ilişkilendirir.
Sparkrat, casusluktan finansal sahtekarlığa kadar çeşitli kötü amaçlı kampanyaları ne kadar kolay uyarabileceğini gösteriyor.
Araç setinin platformlar arası doğası, oyun platformları gibi yenilikçi dağıtım yöntemleriyle birleştiğinde, potansiyel saldırı yüzeyini arttırır.
Analistler, Port 8000’deki popülasyonsuz HTTP başlıkları ve Sparkrat C2 sunucularını etkili bir şekilde tanımlamak için posta istekleri sırasında spesifik JSON hata mesajları gibi ağ gözlemlenebilirlerine odaklanmayı önerir.
Tespit yeteneklerini genişleterek ve Sparkrat’ın altyapısını sürekli olarak izleyerek, savunucular rakiplerin operasyonlarını bozabilir ve bu kalıcı tehdidin çoğalmasını sağlayabilir.
Ek kıvılcım ikili dosyalarını ve C2 davranışlarını karakterize etmek için daha fazla araştırma devam etmektedir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene