بدافزار SparkRAT که برای اولین بار در ۲۰۲۲ توسط کاربری با نام XZB-1248 در GitHub منتشر شد، همچنان به عنوان ابزار محبوبی برای حملات پس از نفوذ (Post-Exploitation) مورد استفاده قرار میگیرد.
🔹 این بدافزار از پروتکل WebSocket برای برقراری ارتباط با سرورهای فرماندهی و کنترل (C2) استفاده میکند.
🔹 SparkRAT در حملات مرتبط با آسیبپذیریهای CVE-2024-27198 مشاهده شده است.
🔹 محققان شواهدی از استفاده این بدافزار در عملیاتهای جاسوسی سایبری علیه سازمانهای دولتی پیدا کردهاند.
📌 روشهای تشخیص SparkRAT در سطح شبکه
✅ دریافت نسخههای جدید از مخزن GitHub با ارسال درخواست HTTP POST.
✅ استفاده از احراز هویت HTTP Basic برای ورود به پنل C2.
✅ پاسخهای مشخص HTTP 401 Unauthorized در سرورهای فرماندهی.
✅ ارتباط با مسیر /api/client/update?arch=* همراه با هدرهای خاص User-Agent.
📌 ترکیب این شاخصها میتواند به تحلیلگران امنیتی کمک کند تا سرورهای C2 فعال SparkRAT را شناسایی کنند.
🛑 ارتباط SparkRAT با حملات APT کره شمالی
📌 در نوامبر ۲۰۲۴، محققان یک کمپین مرتبط با کره شمالی (DPRK) را شناسایی کردند که SparkRAT را از طریق صفحات جعلی جلسات آنلاین توزیع میکرد.
📌 این کمپین از دامنههایی مانند gsoonmann[.]site و remote.henh247[.]net برای انتشار بدافزار استفاده کرده است.
📌 محققان چندین سرور جدید SparkRAT را شناسایی کردند که حاوی نسخههای آلوده از این بدافزار بودند.
یک نظر