資安公司SentinelLabs近期發現駭客組織DragonSpark對東亞組織發動間諜攻擊。駭客組織DragonSpark使用鮮為人知之開源工具SparkRAT，試圖透過Golang直譯器躲避檢測，並自被駭主機中竊取機敏資訊、執行命令以及進行橫向移動等。駭客利用中國、台灣及新加坡有漏洞之伺服器發起攻擊。

駭客入侵通常由含漏洞之MySQL資料庫伺服器開始，駭客於受駭伺服器部屬Webshell後，接著利用Webshell於受駭伺服器上部屬SparkRAT與其他工具，其中包含自製惡意軟體ShellCode_Loader與m6699.exe。SparkRAT為基於Golang語言之開源工具，可於Windows、macOS及Linux上提供遠端存取功能。m6699.exe為Golang語言之直譯器，可直接執行程式碼而無需先經過編譯，進而躲避檢測與靜態分析。

駭客組織DragonSpark利用位於臺灣、香港、中國及新加坡之伺服器暫存SparkRAT與其他惡意軟體。C2伺服器位於香港與美國。惡意軟體暫存位置包含臺灣組織與企業，例如嬰兒用品零售商、藝術畫廊及賭博網站。

駭客組織DragonSpark之行動於2022年9月首次被發現，首次攻擊中使用之Zegost惡意軟體與中國APT組織相關，此外駭客組織DragonSpark此次所使用之開源工具皆為中國人所開發，表明該組織之駭客與該國相關。SentinelLabs建議需加強防禦，避免伺服器遭侵駭。
 

https://www.bleepingcomputer.com/news/security/hackers-use-golang-source-code-interpreter-to-evade-detection/
https://www.sentinelone.com/labs/dragonspark-attacks-evade-detection-with-sparkrat-and-golang-source-code-interpretation/
國家資通安全研究院整理