‘DragonSpark’ olarak anılan Çin uyruklu olduğu düşünülen hacker grubunun, Doğu Asya’daki kuruluşlara karşı yaptığı saldırılarda yakalanmamak için Golang kaynak kodunu kullandığı gözlendi.

Saldırılar çok bilinmeyen açık kaynak kodlu SparkRAT ve Golang zararlıları kullanılarak yakalanma ihtimalini zorlaştıran bir saldırı olması açısından diğerlerinden ayrılıyor. Saldırılarda göze çarpan olay, SparkRAT ’in bilgi çalma, enfekte olmuş ana bilgisayarların kontrolünü ele geçirmesi ve ekstra PowerShell komutları çalıştırması gibi etkinlikler için sürekli kullanılmasıdır.

Tehdit unsurunu motive eden etken casusluk ve siber suçlar olsa da hedeflediği son nokta hala bilinmiyor. DragonSpark’ın Çin ile olan bağları, Çinli siber suçlular arasında yaygın bir saldırı yolu olarak kullanılan kötücül yazılımı yaymak için China Chopper Web Shell kullanımından kaynaklanmaktadır. Fakat bahsedilen yüklerin hazırlanma altyapısı sadece Çin bağlantılı şirketlerden değil, aynı zamanda Tayvan, Hong Kong ve Singapur’daki bir kısmı yasal şirketlere de aittir.

İlk erişim, internete açık sunuculardan ve MySQL veri tabanı sunucularından ödün verilmesiyle başlar. Daha sonra, SharpToken, BadPotato ve GotoHTTP gibi açık kaynak araçlar kullanılarak, yetki yükseltme ve kötü amaçlı yazılım dağıtımı işlemleri gerçekleştirilir.

Ana bilgisayarlara rastgele kod yürüten, sistem komutları çalıştırabilen, dosya işlemlerini değiştirebilen ve veri çekme kabiliyetlerine sahip uzaktan erişim sağlayan truva atı SparkRAT gönderilir. Dikkatli olunması gereken başka bir kötücül yazılım ise, güvenlik çözümlerini atlayabilen, sonraki aşamaları yürütme ve C2 (Komut ve Kontrol) sunucusuyla iletişim kurmak üzere tasarlanan Golong tabanlı m6699.exe’dir.

Araştırmacıların dikkatinden çeken bir diğer nokta, bahsi geçen Çin uyruklu saldırganların bu saldırılarda açık kaynak yazılımları tercih ettikleri ve SparRAT’ın zengin özellikleri ve düzenli olarak güncellenmesinin gelecek siber suçlar ve suçlular için cezbedici olabileceği yönünde.