Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security Ny SparklingGoblin Threat Actor riktar sig mot...

Ny SparklingGoblin Threat Actor riktar sig mot amerikanska företag och organisationer

Med Mura år Computer Security
Översätt till:
Svenska

Säkerhetsforskare har upptäckt en pågående kampanj som genomförts av en avancerad persistent hot (APT) aktör som verkar vara ny i infosec -landskapet. Den nya enheten kallades SparklingGoblin av forskare och har riktat sig till företag och organisationer i Nordamerika.

SparklingGoblin är en nyhet på plats, men forskare tror att det har kopplingar till en tidigare existerande APT som heter Winnti Group eller Wicked Panda, som tros vara en statligt sponsrad kinesisk grupp av hackare. Wicked Panda kom först i rampljuset för nästan ett decennium sedan.

SparklingGoblin använder vad forskare beskriver som en innovativ modulär bakdörr för att infiltrera offrens nätverk. Verktyget kallas SideWalk och har slående likheter med en av de bakdörrar som Wicked Panda använde tidigare, kallad CrossWalk. Båda är modulära verktygssatser och kan utföra skalkommandon och kod på offrets system, skickas av kommando- och kontrollservern.

Den nya hotaktören, SparklingGoblin, hittades attackera utbildningsanläggningar, en återförsäljare och medieföretag i USA och Kanada.

Upptäckten av den nya hotaktören inför SparklingGoblin hände medan forskare försökte spåra aktivitet relaterad till den äldre Wicked Panda APT. Under deras arbete hittade de ett nytt malwareprov som visade sig vara det nya verktyget som används av SparklingGoblin. Det fanns flera likheter i hur skadlig programvara packades och hur det fungerade, men det var tillräckligt annorlunda för att det skulle tillskrivas en ny hotaktör.

En unik egenskap hos den nya SideWalk -bakdörren är att även om den liknade det befintliga CrossWalk -exemplet, använde den en variant av PlugX -malware -familjen, som heter Korplug. Bakdörren använde dessutom Google Docs som lagringsutrymme för nyttolaster - en allt vanligare förekomst bland skadlig programvara.

Bakdörren använder kryptering av sin skadliga skalkod och injicerar den koden genom att fördjupa processen i legitima, befintliga systemprocesser.

I sina attacker verkar SparklingGoblin vara ute efter informationsexfiltrering och försöker få tag i IP -adresser, användarnamn och systeminformation från sina offersystem. Vad det yttersta syftet med dessa känselattacker är kan inte sägas med fullständig säkerhet. Gruppen tros också fungera utanför Kina, ungefär som forskare tror om Wicked Panda.

Läser in...