Yeni SparklingGoblin Tehdit Aktörü Amerikan Şirketlerini ve Kuruluşlarını Hedefliyor

Güvenlik araştırmacıları, bilgi güvenliği alanında yeni gibi görünen gelişmiş bir kalıcı tehdit (APT) aktörü tarafından yürütülen devam eden bir kampanyayı tespit etti. Yeni varlığa araştırmacılar tarafından SparklingGoblin adı verildi ve Kuzey Amerika'da bulunan işletmeleri ve kuruluşları hedef alıyor.

SparklingGoblin, olay yerine yeni bir varış ama araştırmacılar, daha önce var olan Winnti Group veya Wicked Panda adlı, devlet destekli bir Çinli hacker grubu olduğuna inanılan bir APT ile bağları olduğuna inanıyor. Wicked Panda ilk olarak yaklaşık on yıl önce ilgi odağı oldu.

SparklingGoblin, kurbanların ağlarına sızmak için araştırmacıların yenilikçi modüler arka kapı olarak tanımladığı şeyi kullanıyor. Aracın adı SideWalk ve geçmişte Wicked Panda'nın kullandığı CrossWalk adlı arka kapılardan birine çarpıcı benzerlikler taşıyor. Her ikisi de modüler araç takımlarıdır ve kurban sisteminde kabuk komutlarını ve kodunu çalıştırabilir, komut ve kontrol sunucusu tarafından gönderebilir.

Yeni tehdit aktörü SparklingGoblin, ABD ve Kanada'daki eğitim tesislerine, bir perakendeciye ve medya işletmelerine saldırırken bulundu.

SparklingGoblin karşısında yeni tehdit aktörünün keşfi, araştırmacılar eski Wicked Panda APT ile ilgili faaliyetleri izlemeye çalışırken gerçekleşti. Çalışmaları sırasında, SparklingGoblin tarafından kullanılan yeni araç olduğu ortaya çıkan yeni bir kötü amaçlı yazılım örneği buldular. Kötü amaçlı yazılımın paketlenme şekli ve nasıl çalıştığı konusunda birçok benzerlik vardı, ancak yeni bir tehdit aktörüne atfedilecek kadar farklıydı.

Yeni SideWalk arka kapısının benzersiz bir özelliği, mevcut CrossWalk örneğine çok benzemesine rağmen, PlugX kötü amaçlı yazılım ailesinin Korplug adlı bir türevini kullanmasıdır. Ek olarak, arka kapı, kötü amaçlı yazılımlar arasında giderek yaygınlaşan bir durum olan, yükler için depolama alanı olarak Google Dokümanlar'ı kullandı.

Arka kapı, kötü niyetli kabuk kodunun şifrelemesini kullanır ve bu kodu, meşru, mevcut sistem süreçlerine boşaltma işlemi yoluyla enjekte eder.

SparklingGoblin, saldırılarında bilgi hırsızlığının peşinde gibi görünüyor ve kurban sistemlerinden IP adreslerini, kullanıcı adlarını ve sistem bilgilerini almaya çalışıyor. Bu duygu saldırılarının nihai amacının ne olduğu tam olarak söylenemez. Grubun, araştırmacıların Wicked Panda hakkında inandıklarına benzer şekilde, Çin dışında da faaliyet gösterdiğine inanılıyor.