Nieuwe SparklingGoblin Threat-acteur richt zich op Amerikaanse bedrijven en organisaties
Beveiligingsonderzoekers hebben een lopende campagne opgemerkt die wordt uitgevoerd door een APT-acteur (Advanced Persistent Threat) die nieuw lijkt te zijn in het infosec-landschap. De nieuwe entiteit heette SparklingGoblin door onderzoekers en richt zich op bedrijven en organisaties in Noord-Amerika.
SparklingGoblin is een nieuwkomer op het toneel, maar onderzoekers denken dat het banden heeft met een eerder bestaande APT genaamd Winnti Group of Wicked Panda, waarvan wordt aangenomen dat het een door de staat gesponsorde Chinese groep hackers is. Wicked Panda kwam bijna tien jaar geleden voor het eerst in de schijnwerpers.
SparklingGoblin gebruikt wat onderzoekers omschrijven als een innovatieve modulaire achterdeur om de netwerken van slachtoffers te infiltreren. De tool heet SideWalk en vertoont opvallende overeenkomsten met een van de achterdeuren die Wicked Panda in het verleden gebruikte, genaamd CrossWalk. Beide zijn modulaire toolkits en kunnen shell-commando's en code uitvoeren op het slachtoffersysteem, verzonden door de command and control-server.
De nieuwe dreigingsacteur, SparklingGoblin, werd gevonden bij het aanvallen van onderwijsfaciliteiten, een detailhandelaar en mediabedrijven in de VS en Canada.
De ontdekking van de nieuwe bedreigingsacteur in het aangezicht van SparklingGoblin gebeurde terwijl onderzoekers probeerden activiteiten op te sporen die verband hielden met de oudere Wicked Panda APT. Tijdens hun werk vonden ze een nieuwe malware-sample die de nieuwe tool bleek te zijn die door SparklingGoblin werd gebruikt. Er waren meerdere overeenkomsten in de manier waarop de malware was verpakt en hoe het werkte, maar het was zo verschillend dat het werd toegeschreven aan een nieuwe dreigingsactor.
Een uniek kenmerk van de nieuwe SideWalk-backdoor is dat het, hoewel het erg leek op het bestaande CrossWalk-voorbeeld, een variant van de PlugX-malwarefamilie gebruikte, genaamd Korplug. Bovendien gebruikte de achterdeur Google Docs als opslagruimte voor payloads - een steeds vaker voorkomend verschijnsel bij malware.
De achterdeur gebruikt versleuteling van zijn kwaadaardige shell-code en injecteert die code door procesuitholling in legitieme, bestaande systeemprocessen.
Bij zijn aanvallen lijkt SparklingGoblin op zoek te zijn naar informatie-exfiltratie en probeert hij IP-adressen, gebruikersnamen en systeeminformatie van zijn slachtoffersystemen te bemachtigen. Wat het uiteindelijke doel van die voelsprieten is, kan niet met volledige zekerheid worden gezegd. Er wordt aangenomen dat de groep ook vanuit China opereert, vergelijkbaar met wat onderzoekers denken over Wicked Panda.