駭客利用Golang直譯器躲避檢測

資安公司SentinelLabs近期發現駭客組織DragonSpark對東亞組織發動間諜攻擊。駭客組織DragonSpark使用鮮為人知之開源工具SparkRAT,試圖透過Golang直譯器躲避檢測,並自被駭主機中竊取機敏資訊、執行命令以及進行橫向移動等。駭客利用中國、台灣及新加坡有漏洞之伺服器發起攻擊。

駭客入侵通常由含漏洞之MySQL資料庫伺服器開始,駭客於受駭伺服器部屬Webshell後,接著利用Webshell於受駭伺服器上部屬SparkRAT與其他工具,其中包含自製惡意軟體ShellCode_Loader與m6699.exe。SparkRAT為基於Golang語言之開源工具,可於Windows、macOS及Linux上提供遠端存取功能。m6699.exe為Golang語言之直譯器,可直接執行程式碼而無需先經過編譯,進而躲避檢測與靜態分析。

駭客組織DragonSpark利用位於臺灣、香港、中國及新加坡之伺服器暫存SparkRAT與其他惡意軟體。C2伺服器位於香港與美國。惡意軟體暫存位置包含臺灣組織與企業,例如嬰兒用品零售商、藝術畫廊及賭博網站。

駭客組織DragonSpark之行動於2022年9月首次被發現,首次攻擊中使用之Zegost惡意軟體與中國APT組織相關,此外駭客組織DragonSpark此次所使用之開源工具皆為中國人所開發,表明該組織之駭客與該國相關。SentinelLabs建議需加強防禦,避免伺服器遭侵駭。
 

Reference

https://www.bleepingcomputer.com/news/security/hackers-use-golang-source-code-interpreter-to-evade-detection/
https://www.sentinelone.com/labs/dragonspark-attacks-evade-detection-with-sparkrat-and-golang-source-code-interpretation/
國家資通安全研究院整理