Ny SparklingGoblin Threat Actor målretter amerikanske virksomheder og organisationer
Sikkerhedsforskere har opdaget en igangværende kampagne udført af en avanceret vedvarende trusselaktør (APT), der ser ud til at være ny i infosec -landskabet. Den nye enhed blev kaldt SparklingGoblin af forskere og har været rettet mod virksomheder og organisationer i Nordamerika.
SparklingGoblin er en ny ankomst på scenen, men forskere mener, at det har bånd til en tidligere eksisterende APT kaldet Winnti Group eller Wicked Panda, der menes at være en statsstøttet kinesisk gruppe af hackere. Wicked Panda kom første gang i søgelyset for næsten et årti siden.
SparklingGoblin bruger, hvad forskere beskriver som en innovativ modulær bagdør til at infiltrere ofres netværk. Værktøjet kaldes SideWalk og har markante ligheder med en af bagdørene Wicked Panda, der tidligere blev brugt, kaldet CrossWalk. Begge er modulære værktøjssæt og kan udføre shellkommandoer og kode på offersystemet, sendt af kommando- og kontrolserveren.
Den nye trusselsaktør, SparklingGoblin, blev fundet angriber uddannelsesfaciliteter, en forhandler og medievirksomheder i USA og Canada.
Opdagelsen af den nye trusselsaktør i lyset af SparklingGoblin skete, mens forskere forsøgte at spore aktivitet relateret til den ældre Wicked Panda APT. Under deres arbejde fandt de en ny malware -prøve, der viste sig at være det nye værktøj, der blev brugt af SparklingGoblin. Der var flere ligheder i den måde, hvorpå malware blev pakket og hvordan det fungerede, men det var anderledes nok til, at det blev tilskrevet en ny trusselsaktør.
En unik egenskab ved den nye SideWalk bagdør er, at selvom den lignede meget den eksisterende CrossWalk -prøve, brugte den en variant af PlugX -malware -familien ved navn Korplug. Derudover brugte bagdøren Google Docs som lagerplads til nyttelast - en stadig mere almindelig forekomst blandt malware.
Bagdøren bruger kryptering af sin ondsindede shell -kode og injicerer denne kode gennem proces, der udhules i legitime, eksisterende systemprocesser.
I sine angreb ser det ud til, at SparklingGoblin er efter informationens eksfiltrering og søger at få fat i IP -adresser, brugernavne og systemoplysninger fra sine offersystemer. Hvad det endelige formål med disse følerangreb er, kan ikke siges med fuld sikkerhed. Gruppen menes også at operere ud af Kina, svarende til hvad forskere mener om Wicked Panda.