SparklingGoblin Le nouvel APT cible des entités en Amérique du Nord
Après avoir fait des recherches et suivi un autre vecteur d'investigation, les chercheurs en sécurité semblent être tombés sur un tout nouvel acteur de la menace dans le paysage numérique. Le nouvel APT ou acteur de menace persistant actif est appelé SparklingGoblin par les chercheurs. Son activité a été attribuée à des attaques visant des institutions et des entreprises situées en Amérique du Nord.
SparklingGoblin est un nouvel APT mais selon les observations et les recherches menées jusqu'à présent, il semble être lié à un autre acteur de menace connu. L'entité liée à SparklingGoblin est codifiée comme APT41 et est connue sous plusieurs noms, dont Wicked Panda et Winnti Group. Les chercheurs pensent que Winnti Group est un acteur menaçant opérant depuis la Chine, parrainé par le gouvernement du pays.
Le lien entre les deux APT a été trouvé principalement dans la boîte à outils d'infiltration qu'ils utilisent tous les deux. SparklingGoblin a été trouvé en utilisant une nouvelle porte dérobée qui ressemble à un outil de porte dérobée utilisé dans le passé par Winnti Group.
La nouvelle instance du malware utilisé par SparklingGoblin s'appelle SideWalk et il existe un certain nombre de similitudes entre elle et un outil plus ancien connu des chercheurs appelé CrossWalk, utilisé par le groupe Winnti dans le passé. C'était l'un des principaux indicateurs que les deux APT sont liés, ainsi que le fait qu'ils utilisent tous les deux la langue chinoise.
Les chercheurs ne recherchaient pas spécifiquement le nouvel acteur de la menace. En fait, ils menaient à l'origine une enquête sur l'activité du groupe Winnti, mais ont découvert un échantillon de logiciels malveillants qui les a informés qu'il s'agissait d'une nouvelle entité. Ils ont trouvé un échantillon de malware qui était empaqueté comme le CrossWalk de Winnti Group et se comportait de manière similaire, exécutant un code shell à l'aide de commandes reçues d'un serveur de commande et de contrôle.
Cependant, il y avait une différence clé. L'outil SideWalk utilisé par SparklingGoblin utilisait une variante différente du malware PlugX, appelée Korplug par les chercheurs. Il a également pu utiliser les serveurs cloud de Google Docs comme emplacement de chute mort pour sa charge utile.
Une fois déployé sur un système, SideWalk utilise le creusement de processus pour injecter son code malveillant, qui a déjà été déchiffré par la porte dérobée. Le gang SparklingGoblin qui exploite la porte dérobée après avoir collecté des informations sur les systèmes qu'il infiltre, ont déclaré les chercheurs. Les cibles situées en Amérique du Nord jusqu'à présent ont été des écoles canadiennes et un détaillant d'ordinateurs basé aux États-Unis.