SparkRAT
A Hunt.io blogbejegyzése a SparkRAT nevű kártékony program észlelésére összpontosít, különösen a macOS rendszerek esetében. A SparkRAT egy távoli hozzáféréses trojai (RAT), amelyet először 2022-ben fedeztek fel, és amelyet kiberkémkedési kampányokban használnak. A támadások mögött valószínűleg észak-koreai (DPRK) fenyegető csoportok állnak.
A SparkRAT kommunikációhoz WebSocketet és HTTP-t használ, amely a parancs- és vezérlő (C2) kapcsolatok fenntartására szolgál. A fertőzött eszközök jellemzően a 8000-es porton keresztül kommunikálnak a támadó szerverrel. A blogbejegyzés rávilágít, hogy a SparkRAT szerverek észleléséhez kulcsfontosságú az HTTP válaszfejlécek és a JSON válaszok figyelése. A kutatás eredményeként több információt is sikerült kinyerni az áldozatok rendszereinek fertőzött hálózati kommunikációjáról.
A kampányokban használt infrastruktúra is azonosításra került, beleértve az IP címeket és domaineket, amelyeket az elkövetők használtak a C2 kommunikációhoz. Az észlelt támadások célzott kiberkémkedési tevékenységek, amelyek rendszerint érzékeny információk eltulajdonítására irányulnak.
A Hunt.io hangsúlyozza a SparkRAT és más távoli hozzáférésű trójaiak elleni védekezés fontosságát, különösen a macOS rendszereken, ahol a fenyegetések egyre gyakoribbá válnak. Az észlelési technikák alkalmazásával a rendszergazdák és kiberbiztonsági szakemberek hatékonyabban felismerhetik a SparkRAT-ot és megakadályozhatják annak káros hatásait.