Il nuovo attore di SparklingGoblin prende di mira aziende e organizzazioni americane
I ricercatori di sicurezza hanno individuato una campagna in corso condotta da un attore di minacce persistenti avanzate (APT) che sembra essere una novità nel panorama infosec. La nuova entità è stata chiamata SparklingGoblin dai ricercatori e ha preso di mira aziende e organizzazioni situate nel Nord America.
SparklingGoblin è un nuovo arrivato sulla scena, ma i ricercatori ritengono che abbia legami con un APT precedentemente esistente chiamato Winnti Group o Wicked Panda, ritenuto un gruppo di hacker cinese sponsorizzato dallo stato. Wicked Panda è apparso per la prima volta sotto i riflettori quasi dieci anni fa.
SparklingGoblin utilizza ciò che i ricercatori descrivono come un'innovativa backdoor modulare per infiltrarsi nelle reti delle vittime. Lo strumento si chiama SideWalk e presenta sorprendenti somiglianze con una delle backdoor Wicked Panda utilizzate in passato, chiamata CrossWalk. Entrambi sono toolkit modulari e possono eseguire comandi shell e codice sul sistema vittima, inviati dal server di comando e controllo.
Il nuovo attore delle minacce, SparklingGoblin, è stato trovato mentre attaccava strutture educative, un rivenditore e aziende di media negli Stati Uniti e in Canada.
La scoperta del nuovo attore di minacce di fronte a SparklingGoblin è avvenuta mentre i ricercatori stavano cercando di rintracciare l'attività relativa al vecchio Wicked Panda APT. Durante il loro lavoro hanno trovato un nuovo campione di malware che si è rivelato essere il nuovo strumento utilizzato da SparklingGoblin. C'erano molte somiglianze nel modo in cui il malware era impacchettato e come funzionava, ma era abbastanza diverso da essere attribuito a un nuovo attore di minacce.
Una caratteristica unica della nuova backdoor SideWalk è che mentre sembrava molto simile al campione CrossWalk esistente, utilizzava una variante della famiglia di malware PlugX, denominata Korplug. Inoltre, la backdoor utilizzava Google Docs come spazio di archiviazione per i payload, un evento sempre più comune tra i malware.
La backdoor utilizza la crittografia del suo codice shell dannoso e inietta quel codice attraverso il processo di svuotamento nei processi di sistema legittimi esistenti.
Nei suoi attacchi, SparklingGoblin sembra essere alla ricerca dell'esfiltrazione di informazioni e cerca di ottenere indirizzi IP, nomi utente e informazioni di sistema dai suoi sistemi vittima. Non si può dire con assoluta certezza quale sia lo scopo ultimo di quegli attacchi di sonda. Si ritiene che il gruppo operi anche fuori dalla Cina, in modo simile a quanto credono i ricercatori su Wicked Panda.