SentinelLabs отслеживает недавние атаки на восточноазиатские организации, которые они обозначаем как "DragonSpark". Атаки характеризуются использованием малоизвестного открытого источника SparkRAT и вредоносного ПО, которое пытается уклониться от обнаружения путем интерпретации исходного кода Golang.
Атаки DragonSpark представляют собой первую конкретную вредоносную активность, в ходе которой SentinelLabs наблюдала последовательное использование SparkRAT с открытым исходным кодом, что является относительно новым явлением на ландшафте угроз. SparkRAT является многоплатформенным, многофункциональным и часто обновляется новыми функциями, что делает RAT привлекательным для угрожающих субъектов.
Indicators of Compromise
IPv4
- 104.233.163.190
IPv4 Port Combinations
- 103.96.74.148:6688
- 103.96.74.148:6699
- 103.96.74.148:8899
URLs
- http://13.213.41.125:9001/go.exe
- http://211.149.237.108:801/m6699.exe
- http://211.149.237.108:801/py.exe
- http://43.129.227.159:81/c.exe
- http://www.bingoplanet.com.tw/images/py.exe
- http://www.holybaby.com.tw/api/ms.exe
- https://www.moongallery.com.tw/upload/py.exe
SHA1
- 14ebbed449ccedac3610618b5265ff803243313d
- 2578efc12941ff481172dd4603b536a3bd322691
- 83130d95220bc2ede8645ea1ca4ce9afc4593196