De Store virksomheder i Østasien bliver i øjeblikket angrebet med et open source-værktøj ved navn SparkRAT, ifølge en ny rapport.
Det er nemlig forskere fra SentinelLabs der oplyser, at de har sporet en hackinggruppe ved navn “DragonSpark” siden oktober på grund af dens hyppige angreb på store virksomheder, som de dog ikke navngav. SentinelLabs skriver også at gruppen har en dens evne til løbende at udvikle sig.
“Mange offerorganisationer har en stor kundebase, hvilket fører til troen på, at trusselsaktørerne kan målrette kundedata til kriminelle eller andre formål. I øjeblikket anses DragonSpark-angrebsklyngen for at være opportunistisk,”
siger forskerne fra SentinalLabs
Spionsoftware er i kraftig stigning
Spionsoftware har altid været populært, og vi snakker ikke om at spionere på kæresten. Der er tale om omfattende spionvirksomhed mod danske virksomheder, fordi Danmark er en af de stærkeste lande indenfor patenter, drevet af Danmarl’s stærke Life Science branche. Det er foregået siden 80’erne og optrappes dag-for-dag.
Der er mange forklaringer til dette, dels er spionsoftware og adgangen til dem blevet både billigere og nemmere med blandet andet Darknet og dels er der kommet rigtig mange Open Source leverandører på markedet og de er jo gratis.
Medarbejderhævn og afregning i skattely lande med indtil 80% af Ransomware beløbet
Ca. 5% af al hacking foretages i dag med simple billige eller gratis værktøjer og man behøver slet ikke anvende værktøjer da RAAS udbyderne (Ransomware as a Service) lokker med Tesla’er, store afregninger i bl.a. Skattely lande eller betalinger i kryptovaluta, som kan være svære at spore. Og så trækker en del af dem på begrebet medarbejderhævn, både hvor medarbejderen forbliver i virksomheden, eller har forladt virksomheden.
“Det er min antagelse at Spionsoftware er mere udbredt end Ransomware grupper. De åbenbares ikke så let og tilkendegiver sig jo ikke med en besked om at betale. De fleste Spionsoftware programmer kan spionere i årevis uden at blive opdaget, medmindre man har investeret i, netop at opdage denne form for Malware.”
siger Michael Rasmussen, ICARE SECURITY A/S
Forskerne sagde, at deres undersøgelse gentager, at trusselsaktører fortsætter med at innovere med open source-værktøjer, der giver dem mulighed for bedre at undgå detektion og tilsløre deres mål.
Hackerene har angiveligt valgt SparkRAT på grund af dets praktiske egenskaber, der et let tilgængeligt, funktionsrigt og multi-platform værktøj.
Forskningen viste, at en kinesisk-talende skuespiller sandsynligvis står bag DragonSpark-angrebene, og hackerne bruger kompromitteret infrastruktur i Kina og Taiwan til at iscenesætte SparkRAT sammen med andre værktøjer og malware.
Microsoft udgav sin egen rapport om SparkRAT i december og advarede om flere aktører, der bruger værktøjet.
DragonSpark er typisk målrettet mod web- og databaseservere, der udsættes for internettet, og bruger en række værktøjer i deres angreb for at få adgang til miljøer og bevæge sig sideværts på servere og cloud miljøer i server hosting centre.
De er stærkt afhængige af open source-værktøjer leveret af kinesisktalende udviklere eller leverandører, herunder privilegieeskaleringsværktøjerne SharpToken og BadPotato der benyttes sammen med SparkRAT. SharpToken giver hackere mulighed for at tilføje, slette eller ændre adgangskoder til systembrugere.
SparkRAT skiller sig ud blandt de værktøjer, som gruppen bruger på grund af den brede vifte af handlinger, som muliggøres. SentinelLabs forskere fandt ud af, at det giver hackere mulighed for at lukke et system, genstarte det eller sætte det i dvaletilstand. Brugere kan slette eller downloade filer og exfiltrere platformoplysninger.
“DragonSpark-angrebene udnyttede infrastruktur i Taiwan, Hong Kong, Kina og Singapore til at iscenesætte SparkRAT og andre værktøjer og malware. C2-serverne var placeret i Hong Kong og USA,”
siger forskerne.
“Malware-iscenesættelsesinfrastrukturen inkluderer kompromitteret infrastruktur fra legitime taiwanske organisationer og virksomheder, såsom en babyproduktforhandler, et kunstgalleri og spil- og spilwebsteder.”
Forskerne var ikke i stand til at identificere gruppens motivationer, men sagde, at det kan variere fra cyberkriminalitet til spionage. Spionsoftware er meget udbredt i Kina og der findes lidt over 200 producenter alene i Kina. Nogle af dets værktøjer bruges af kinesiske cyberkriminelle, mens andre bruges som en del af spionagekampagner. Spionagekampagner opdages altid tidligere da de jo ikke skriver til ofrene, men blot spionerer på isæt IP stræke virksomheder for at opsnappe forskning, patenter og forretningsplaner og samarbejdspartnere, efter at det er blevet svært for kinesiske virksomheder at få tilgang til vestlig teknologi.
Kilde: Michael Rasmussen, ICARE SECURITY A/S
Fotokredit: Pexels
