新的 SparklingGoblin 威胁攻击者瞄准美国公司和组织

安全研究人员发现了一个由高级持续威胁 (APT)参与者进行的持续活动，该活动似乎对信息安全领域来说是新的。这个新实体被研究人员称为 SparklingGoblin，目标是位于北美的企业和组织。

SparklingGoblin 是一个新出现的人，但研究人员认为它与之前存在的名为Winnti Group或Wicked Panda 的APT 有联系，据信这是一个由国家资助的中国黑客组织。大约十年前，邪恶的熊猫首次成为人们关注的焦点。

SparklingGoblin 使用研究人员所描述的创新模块化后门来渗透受害者的网络。该工具名为 SideWalk，与过去使用的后门 Wicked Panda 之一具有惊人的相似之处，称为 CrossWalk。两者都是模块化工具包，可以在受害系统上执行 shell 命令和代码，由命令和控制服务器发送。

新的威胁行为者 SparklingGoblin 被发现攻击美国和加拿大的教育设施、零售商和媒体企业。

在研究人员试图追踪与旧版 Wicked Panda APT 相关的活动时，发现了面对 SparklingGoblin 的新威胁行为者。在他们的工作中，他们发现了一个新的恶意软件样本，结果证明它是 SparklingGoblin 使用的新工具。恶意软件的打包方式和工作方式有很多相似之处，但又大不相同，以至于被归咎于新的威胁行为者。

新 SideWalk 后门的一个独特功能是，虽然它看起来与现有的 CrossWalk 样本非常相似，但它使用了 PlugX 恶意软件家族的变体，名为 Korplug。此外，后门使用 Google Docs 作为有效载荷的存储空间——这在恶意软件中越来越普遍。

后门对其恶意 shell 代码进行加密，并通过进程挖空将该代码注入到合法的现有系统进程中。

在攻击中，SparklingGoblin 似乎是在窃取信息，并试图从其受害者系统中获取 IP 地址、用户名和系统信息。无法完全确定这些触角攻击的最终目的是什么。据信该组织也在中国境外经营，类似于研究人员对 Wicked Panda 的看法。