Το νέο SparklingGoblin στοχεύει σε οντότητες στη Βόρεια Αμερική
Αφού έκαναν έρευνα και ακολούθησαν έναν άλλο φορέα έρευνας, οι ερευνητές ασφαλείας φαίνεται να έχουν συναντήσει έναν ολοκαίνουργιο παράγοντα απειλής για το ψηφιακό τοπίο. Το νέο APT ή ενεργός επίμονος παράγοντας απειλών ονομάζεται SparklingGoblin από τους ερευνητές. Η δραστηριότητά της εντοπίστηκε σε επιθέσεις που στοχεύουν ιδρύματα και επιχειρήσεις που βρίσκονται στη Βόρεια Αμερική.
Το SparklingGoblin είναι ένα νέο APT, αλλά σύμφωνα με τις μέχρι τώρα παρατηρήσεις και έρευνες, φαίνεται να συνδέεται με διαφορετικό γνωστό παράγοντα απειλής. Η οντότητα που συνδέεται με το SparklingGoblin κωδικοποιείται ως APT41 και είναι γνωστή με πολλά ονόματα, συμπεριλαμβανομένων των Wicked Panda και Winnti Group. Οι ερευνητές πιστεύουν ότι η Winnti Group είναι ένας παράγοντας απειλής που λειτουργεί εκτός Κίνας, χορηγούμενος από την κυβέρνηση της χώρας.
Ο σύνδεσμος μεταξύ των δύο APT βρέθηκε κυρίως στο κιτ εργαλείων διείσδυσης που χρησιμοποιούν και οι δύο. Το SparklingGoblin βρέθηκε χρησιμοποιώντας μια νέα πίσω πόρτα που μοιάζει με ένα εργαλείο που χρησιμοποιούσε στο παρελθόν η Winnti Group.
Η νέα περίπτωση του κακόβουλου λογισμικού που χρησιμοποιείται από το SparklingGoblin ονομάζεται SideWalk και υπάρχουν πολλές ομοιότητες μεταξύ αυτού και ενός παλαιότερου εργαλείου που είναι γνωστό στους ερευνητές με το όνομα CrossWalk, το οποίο χρησιμοποιούσε η Winnti Group στο παρελθόν. Αυτός ήταν ένας από τους κύριους δείκτες ότι τα δύο APT συνδέονται, καθώς και το γεγονός ότι και οι δύο χρησιμοποιούν την κινεζική γλώσσα.
Οι ερευνητές δεν έψαχναν ειδικά για τον νέο ηθοποιό απειλής. Στην πραγματικότητα διεξήγαγαν μια έρευνα για τη δραστηριότητα του Winnti Group, αλλά έπεσαν πάνω σε ένα δείγμα κακόβουλου λογισμικού που τους έδειξε ότι πρόκειται για μια νέα οντότητα. Βρήκαν ένα δείγμα κακόβουλου λογισμικού που ήταν συσκευασμένο όπως το CrossWalk του Winnti Group και συμπεριφερόταν με παρόμοιο τρόπο, εκτελώντας κώδικα κελύφους χρησιμοποιώντας εντολές που λαμβάνονται από διακομιστή εντολών και ελέγχου.
Ωστόσο, υπήρχε μια βασική διαφορά. Το εργαλείο SideWalk που χρησιμοποιήθηκε από το SparklingGoblin χρησιμοποίησε μια διαφορετική παραλλαγή του κακόβουλου λογισμικού PlugX, που ονομάστηκε Korplug από τους ερευνητές. Ταν επίσης σε θέση να χρησιμοποιήσει τους διακομιστές cloud των Εγγράφων Google ως τοποθεσία νεκρής απόθεσης για το ωφέλιμο φορτίο του.
Μόλις αναπτυχθεί σε ένα σύστημα, το SideWalk χρησιμοποιεί διαδικασία hollowing για να εισάγει τον κακόβουλο κώδικά του, ο οποίος έχει ήδη αποκρυπτογραφηθεί από την πίσω πόρτα. Η συμμορία SparklingGoblin που χειρίζεται την πίσω πόρτα είναι μετά τη συλλογή πληροφοριών από τα συστήματα στα οποία διεισδύει, δήλωσαν οι ερευνητές. Οι στόχοι που εντοπίστηκαν στη Βόρεια Αμερική μέχρι τώρα ήταν Καναδικά σχολεία και ένας λιανοπωλητής υπολογιστών με έδρα τις ΗΠΑ.
