SparklingGoblin Nye APT målretter enheder i Nordamerika
Efter at have forsket og fulgt en anden undersøgelsesvektor ser det ud til, at sikkerhedsforskere er stødt på en helt ny trusselsaktør i det digitale landskab. Den nye APT eller aktive vedvarende trusselsaktør hedder SparklingGoblin af forskere. Dens aktivitet blev sporet til angreb rettet mod institutioner og virksomheder i Nordamerika.
SparklingGoblin er en ny APT, men ifølge de observationer og forskning, der er foretaget indtil nu, ser det ud til at være knyttet til en anden kendt trusselsaktør. Enheden, der er knyttet til SparklingGoblin, er kodificeret som APT41 og er kendt under flere navne, herunder Wicked Panda og Winnti Group. Forskere mener, at Winnti Group er en trusselsaktør, der opererer ud af Kina, sponsoreret af landets regering.
Forbindelsen mellem de to APT'er blev primært fundet i det infiltreringsværktøjssæt, de begge bruger. SparklingGoblin blev fundet ved hjælp af en ny bagdør, der ligner et bagdørsværktøj, der tidligere blev brugt af Winnti Group.
Den nye forekomst af malware brugt af SparklingGoblin kaldes SideWalk, og der er en række ligheder mellem den og et ældre værktøj kendt af forskere kaldet CrossWalk, der tidligere blev brugt af Winnti Group. Dette var en af hovedindikatorerne for, at de to APT'er er forbundet, samt det faktum, at de begge bruger det kinesiske sprog.
Forskere kiggede ikke specifikt efter den nye trusselsaktør. De foretog faktisk oprindeligt en undersøgelse af Winnti Groups aktivitet, men løb på tværs af en malware -prøve, der tipsede dem om, at dette var en ny enhed. De fandt en malware -prøve, der var pakket ligesom Winnti Groups CrossWalk og opførte sig på en lignende måde og udførte shell -kode ved hjælp af kommandoer modtaget fra en kommando- og kontrolserver.
Der var imidlertid en vigtig forskel. SideWalk -værktøjet, der blev brugt af SparklingGoblin, brugte en anden variant af PlugX -malware, kaldet Korplug af forskere. Det var også i stand til at bruge Google Docs cloud -servere som dead drop -placering for dets nyttelast.
Når den er implementeret på et system, bruger SideWalk proceshulning til at injicere sin ondsindede kode, som allerede er blevet dekrypteret af bagdøren. SparklingGoblin -banden, der driver bagdøren, er efter at have indsamlet oplysninger fra de systemer, den infiltrerer, udtalte forskere. Målene i Nordamerika har hidtil været canadiske skoler og en amerikansk forhandler af computere.
