O Novo Autor de Ameaças SparklingGoblin Visa Empresas e Organizações Americanas

Os pesquisadores de segurança identificaram uma campanha em andamento, conduzida pelo autor de uma ameaça persistente avançada (APT) que parece ser novo no cenário de infosec. A nova entidade foi chamada de SparklingGoblin pelos pesquisadores e tem como alvo empresas e organizações localizadas na América do Norte.

O SparklingGoblin é uma nova adição à cena, mas os pesquisadores acreditam que ele tem ligações com um APT previamente existente chamado Winnti Group ou Wicked Panda, que acredita-se ser um grupo de hackers chinês patrocinado pelo estado. O Wicked Panda apareceu pela primeira vez em destaque há quase uma década.

O SparklingGoblin usa o que os pesquisadores descrevem como um backdoor modular inovador para se infiltrar nas redes das vítimas. A ferramenta é chamada SideWalk e tem semelhanças impressionantes com uma das backdoors do Wicked Panda usada no passado, chamada CrossWalk. Ambos são kits de ferramentas modulares e podem executar comandos shell e códigos no sistema da vítima, enviados pelo servidor de comando e controle.

O novo autor de ameaça, SparklingGoblin, foi encontrado atacando instalações educacionais, um varejista e empresas de mídia nos Estados Unidos e Canadá.

A descoberta do novo autor de ameaça que criou o SparklingGoblin aconteceu enquanto os pesquisadores tentavam rastrear atividades relacionadas ao antigo Wicked Panda APT. Durante o trabalho, eles encontraram uma nova amostra de malware que acabou sendo a nova ferramenta usada pelo SparklingGoblin. Haviam várias semelhanças na forma como o malware era empacotado e como funcionava, mas era diferente o suficiente para ser atribuído a um novo ator de ameaça.

Um recurso exclusivo do novo backdoor SideWalk é que, embora fosse muito semelhante ao exemplo CrossWalk existente, ele usava uma variante da família de malware PlugX, chamada Korplug. Além disso, o backdoor usava o Google Docs como espaço de armazenamento para cargas úteis - uma ocorrência cada vez mais comum entre malware.

O backdoor usa criptografia de seu código de shell malicioso e injeta esse código por meio de esvaziamento de processos em processos de sistema existentes legítimos.

Em seus ataques, o SparklingGoblin parece estar atrás de exfiltração de informações e busca obter endereços de IP, nomes de usuário e informações do sistema dos sistemas de suas vítimas. Qual é o propósito final desses ataques de sensor não pode ser dito com certeza absoluta. Acredita-se que o grupo também opere fora da China, semelhante ao que os pesquisadores acreditam sobre o Wicked Panda.