SparklingGoblin neues APT zielt auf Unternehmen in Nordamerika ab
Nach Recherchen und einem anderen Untersuchungsvektor scheinen Sicherheitsforscher auf einen brandneuen Bedrohungsakteur in der digitalen Landschaft gestoßen zu sein. Der neue APT oder Active Persistent Threat Actor wird von Forschern SparklingGoblin genannt. Seine Aktivitäten wurden auf Angriffe auf Institutionen und Unternehmen in Nordamerika zurückgeführt.
SparklingGoblin ist ein neues APT, aber nach den bisherigen Beobachtungen und Untersuchungen scheint es mit einem anderen bekannten Bedrohungsakteur in Verbindung zu stehen. Die mit SparklingGoblin verbundene Entität ist als APT41 kodifiziert und unter mehreren Namen bekannt, darunter Wicked Panda und Winnti Group. Forscher glauben, dass die Winnti Group ein Bedrohungsakteur ist, der von China aus operiert und von der Regierung des Landes gefördert wird.
Die Verbindung zwischen den beiden APTs wurde hauptsächlich im Infiltrations-Toolkit gefunden, das beide verwenden. SparklingGoblin wurde mit einer neuen Backdoor gefunden, die einem Backdoor-Tool ähnelt, das in der Vergangenheit von der Winnti Group verwendet wurde.
Die neue Instanz der von SparklingGoblin verwendeten Malware heißt SideWalk und weist eine Reihe von Ähnlichkeiten mit einem älteren Tool namens CrossWalk auf, das Forschern bekannt ist und in der Vergangenheit von der Winnti Group verwendet wurde. Dies war einer der Hauptindikatoren dafür, dass die beiden APTs miteinander verbunden sind, sowie die Tatsache, dass beide die chinesische Sprache verwenden.
Die Forscher suchten nicht speziell nach dem neuen Bedrohungsakteur. Sie führten ursprünglich eine Untersuchung der Aktivitäten der Winnti Group durch, stießen jedoch auf ein Malware-Beispiel, das ihnen den Hinweis gab, dass es sich um ein neues Unternehmen handelte. Sie fanden ein Malware-Beispiel, das genau wie CrossWalk der Winnti Group verpackt war und sich ähnlich verhielt, indem es Shell-Code mit Befehlen ausführte, die von einem Command-and-Control-Server empfangen wurden.
Es gab jedoch einen wesentlichen Unterschied. Das von SparklingGoblin verwendete SideWalk-Tool verwendet eine andere Variante der PlugX-Malware, die von Forschern Korplug genannt wird. Es war auch in der Lage, Google Docs-Cloud-Server als Dead-Drop-Standort für seine Nutzlast zu verwenden.
Nach der Bereitstellung auf einem System verwendet SideWalk Process Hollowing, um seinen Schadcode einzuschleusen, der bereits durch die Hintertür entschlüsselt wurde. Die SparklingGoblin-Gang, die die Hintertür betreibt, ist nach dem Sammeln von Informationen aus den Systemen, die sie infiltriert, sagten Forscher. Die bisher in Nordamerika ansässigen Ziele waren kanadische Schulen und ein US-amerikanischer Computereinzelhändler.
