新的 SparklingGoblin 威脅攻擊者瞄準美國公司和組織

安全研究人員發現了一個由高級持續威脅 (APT)參與者進行的持續活動，該活動似乎對信息安全領域來說是新的。這個新實體被研究人員稱為 SparklingGoblin，目標是位於北美的企業和組織。

SparklingGoblin 是一個新出現的人，但研究人員認為它與之前存在的名為Winnti Group或Wicked Panda 的APT 有聯繫，據信這是一個由國家資助的中國黑客組織。大約十年前，邪惡的熊貓首次成為人們關注的焦點。

SparklingGoblin 使用研究人員所描述的創新模塊化後門來滲透受害者的網絡。該工具名為 SideWalk，與過去使用的後門 Wicked Panda 之一具有驚人的相似之處，稱為 CrossWalk。兩者都是模塊化工具包，可以在受害系統上執行 shell 命令和代碼，由命令和控制服務器發送。

新的威脅行為者 SparklingGoblin 被發現攻擊美國和加拿大的教育設施、零售商和媒體企業。

在研究人員試圖追踪與舊版 Wicked Panda APT 相關的活動時，發現了面對 SparklingGoblin 的新威脅行為者。在他們的工作中，他們發現了一個新的惡意軟件樣本，結果證明它是 SparklingGoblin 使用的新工具。惡意軟件的打包方式和工作方式有很多相似之處，但又大不相同，以至於被歸咎於新的威脅行為者。

新 SideWalk 後門的一個獨特功能是，雖然它看起來與現有的 CrossWalk 樣本非常相似，但它使用了 PlugX 惡意軟件家族的變體，名為 Korplug。此外，後門使用 Google Docs 作為有效載荷的存儲空間——這在惡意軟件中越來越普遍。

後門對其惡意 shell 代碼進行加密，並通過進程挖空將該代碼注入到合法的現有系統進程中。

在攻擊中，SparklingGoblin 似乎是在竊取信息，並試圖從其受害者係統中獲取 IP 地址、用戶名和系統信息。無法完全確定這些觸角攻擊的最終目的是什麼。據信該組織也在中國境外經營，類似於研究人員對 Wicked Panda 的看法。