न्यू स्पार्कलिंग गोबलिन थ्रेट एक्टर ने अमेरिकी कंपनियों और संगठनों को निशाना बनाया
सुरक्षा शोधकर्ताओं ने एक उन्नत लगातार खतरे (APT) अभिनेता द्वारा चलाए जा रहे एक अभियान को देखा है जो कि इन्फोसेक परिदृश्य के लिए नया प्रतीत होता है। नई इकाई को शोधकर्ताओं द्वारा स्पार्कलिंगगोब्लिन कहा गया था और यह उत्तरी अमेरिका में स्थित व्यवसायों और संगठनों को लक्षित कर रहा है।
स्पार्कलिंगगोब्लिन दृश्य पर एक नया आगमन है, लेकिन शोधकर्ताओं का मानना है कि इसका पहले से मौजूद एपीटी से संबंध है, जिसे विन्न्टी ग्रुप या विकेड पांडा कहा जाता है, जिसे हैकर्स का एक राज्य प्रायोजित चीनी समूह माना जाता है। दुष्ट पांडा लगभग एक दशक पहले पहली बार सुर्खियों में आया था।
स्पार्कलिंगगोब्लिन पीड़ितों के नेटवर्क में घुसपैठ करने के लिए शोधकर्ताओं द्वारा एक अभिनव मॉड्यूलर पिछले दरवाजे के रूप में वर्णित का उपयोग करता है। उपकरण को साइडवॉक कहा जाता है और पिछले दरवाजे में से एक के लिए हड़ताली समानताएं रखता है, जिसे क्रॉसवॉक कहा जाता है, अतीत में इस्तेमाल किया गया था। दोनों मॉड्यूलर टूलकिट हैं और पीड़ित सिस्टम पर शेल कमांड और कोड निष्पादित कर सकते हैं, कमांड और कंट्रोल सर्वर द्वारा भेज सकते हैं।
नया खतरा अभिनेता, स्पार्कलिंगगोब्लिन, अमेरिका और कनाडा में शैक्षिक सुविधाओं, एक खुदरा विक्रेता और मीडिया व्यवसायों पर हमला करते हुए पाया गया।
स्पार्कलिंगगोब्लिन के सामने नए खतरे वाले अभिनेता की खोज तब हुई जब शोधकर्ता पुराने दुष्ट पांडा एपीटी से संबंधित गतिविधि को ट्रैक करने की कोशिश कर रहे थे। अपने काम के दौरान उन्हें एक नया मैलवेयर नमूना मिला जो स्पार्कलिंगगोब्लिन द्वारा उपयोग किया जाने वाला नया टूल निकला। मैलवेयर को पैक करने के तरीके और इसके काम करने के तरीके में कई समानताएं थीं, लेकिन यह इतना अलग था कि इसे एक नए खतरे वाले अभिनेता के रूप में बताया गया था।
नए साइडवॉक पिछले दरवाजे की एक अनूठी विशेषता यह है कि यह मौजूदा क्रॉसवॉक नमूने के समान दिखता है, लेकिन इसमें प्लगएक्स मैलवेयर परिवार के संस्करण का उपयोग किया गया, जिसका नाम कोरप्लग है। इसके अतिरिक्त, पिछले दरवाजे ने Google डॉक्स को पेलोड के लिए भंडारण स्थान के रूप में उपयोग किया - मैलवेयर के बीच एक तेजी से सामान्य घटना।
पिछला दरवाजा अपने दुर्भावनापूर्ण शेल कोड के एन्क्रिप्शन का उपयोग करता है और उस कोड को वैध, मौजूदा सिस्टम प्रक्रियाओं में खोखला कर प्रक्रिया के माध्यम से इंजेक्ट करता है।
अपने हमलों में, स्पार्कलिंगगोब्लिन सूचना के बहिष्करण के बाद प्रतीत होता है और अपने शिकार सिस्टम से आईपी पते, उपयोगकर्ता नाम और सिस्टम जानकारी हथियाने का प्रयास करता है। उन भावपूर्ण हमलों का अंतिम उद्देश्य क्या है, यह पूर्ण निश्चितता के साथ नहीं कहा जा सकता है। माना जाता है कि यह समूह चीन से भी संचालित होता है, जैसा कि शोधकर्ता दुष्ट पांडा के बारे में मानते हैं।