Licencje na wiele urządzeń (rabaty zbiorcze)

Zmieniać region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security Nowy aktor zajmujący się zagrożeniem SparklingGoblin...

Nowy aktor zajmujący się zagrożeniem SparklingGoblin atakuje amerykańskie firmy i organizacje

Do Mura w Computer Security
Przetłumacz na:
Polski

Badacze bezpieczeństwa zauważyli trwającą kampanię prowadzoną przez zaawansowanego, trwałego zagrożenia (APT), która wydaje się być nowa w krajobrazie infosec. Nowy podmiot został nazwany przez naukowców SparklingGoblin i jest skierowany do firm i organizacji zlokalizowanych w Ameryce Północnej.

SparklingGoblin to nowość na scenie, ale naukowcy uważają, że ma powiązania z wcześniej istniejącą APT o nazwie Winnti Group lub Wicked Panda, uważaną za sponsorowaną przez państwo chińską grupę hakerów. Wicked Panda po raz pierwszy znalazła się w centrum uwagi prawie dziesięć lat temu.

SparklingGoblin wykorzystuje to, co naukowcy opisują jako innowacyjne modułowe tylne drzwi do infiltracji sieci ofiar. Narzędzie nosi nazwę SideWalk i jest uderzająco podobne do jednego z używanych w przeszłości backdoorów Wicked Panda, zwanego CrossWalk. Oba są modułowymi zestawami narzędziowymi i mogą wykonywać polecenia powłoki i kod w zaatakowanym systemie, wysyłane przez serwer dowodzenia i kontroli.

Nowy aktor, SparklingGoblin, został znaleziony podczas ataku na placówki edukacyjne, detalistę i firmy medialne w USA i Kanadzie.

Odkrycie nowego aktora-zagrożenia w obliczu SparklingGoblin miało miejsce, gdy badacze próbowali wyśledzić aktywność związaną ze starszym APT Wicked Panda. Podczas swojej pracy znaleźli nową próbkę złośliwego oprogramowania, która okazała się nowym narzędziem wykorzystywanym przez SparklingGoblin. Istniało wiele podobieństw w sposobie pakowania szkodliwego oprogramowania i sposobie jego działania, ale było na tyle różne, że przypisano je nowemu podmiotowi atakującemu.

Jedną z unikalnych cech nowego backdoora SideWalk jest to, że chociaż wyglądał bardzo podobnie do istniejącej próbki CrossWalk, wykorzystywał wariant rodziny złośliwego oprogramowania PlugX o nazwie Korplug. Dodatkowo backdoor wykorzystywał Dokumenty Google jako przestrzeń do przechowywania ładunków — co jest coraz częstszym zjawiskiem wśród złośliwego oprogramowania.

Backdoor wykorzystuje szyfrowanie swojego złośliwego kodu powłoki i wstrzykuje ten kod poprzez proces drążenia do legalnych, istniejących procesów systemowych.

W swoich atakach SparklingGoblin wydaje się dążyć do eksfiltracji informacji i stara się przechwycić adresy IP, nazwy użytkowników i informacje systemowe ze swoich systemów ofiar. Jaki jest ostateczny cel tych ataków czułych, nie można powiedzieć z całkowitą pewnością. Uważa się, że grupa działa również poza Chinami, podobnie jak naukowcy sądzą o Wicked Panda.

Ładowanie...