SparklingGoblin Le nouvel APT cible des entités en Amérique du Nord

Après avoir fait des recherches et suivi un autre vecteur d'investigation, les chercheurs en sécurité semblent être tombés sur un tout nouvel acteur de la menace dans le paysage numérique. Le nouvel APT ou acteur de menace persistant actif est appelé SparklingGoblin par les chercheurs. Son activité a été attribuée à des attaques visant des institutions et des entreprises situées en Amérique du Nord.

SparklingGoblin est un nouvel APT mais selon les observations et les recherches menées jusqu'à présent, il semble être lié à un autre acteur de menace connu. L'entité liée à SparklingGoblin est codifiée comme APT41 et est connue sous plusieurs noms, dont Wicked Panda et Winnti Group. Les chercheurs pensent que Winnti Group est un acteur menaçant opérant depuis la Chine, parrainé par le gouvernement du pays.

Le lien entre les deux APT a été trouvé principalement dans la boîte à outils d'infiltration qu'ils utilisent tous les deux. SparklingGoblin a été trouvé en utilisant une nouvelle porte dérobée qui ressemble à un outil de porte dérobée utilisé dans le passé par Winnti Group.

La nouvelle instance du malware utilisé par SparklingGoblin s'appelle SideWalk et il existe un certain nombre de similitudes entre elle et un outil plus ancien connu des chercheurs appelé CrossWalk, utilisé par le groupe Winnti dans le passé. C'était l'un des principaux indicateurs que les deux APT sont liés, ainsi que le fait qu'ils utilisent tous les deux la langue chinoise.

Les chercheurs ne recherchaient pas spécifiquement le nouvel acteur de la menace. En fait, ils menaient à l'origine une enquête sur l'activité du groupe Winnti, mais ont découvert un échantillon de logiciels malveillants qui les a informés qu'il s'agissait d'une nouvelle entité. Ils ont trouvé un échantillon de malware qui était empaqueté comme le CrossWalk de Winnti Group et se comportait de manière similaire, exécutant un code shell à l'aide de commandes reçues d'un serveur de commande et de contrôle.

Cependant, il y avait une différence clé. L'outil SideWalk utilisé par SparklingGoblin utilisait une variante différente du malware PlugX, appelée Korplug par les chercheurs. Il a également pu utiliser les serveurs cloud de Google Docs comme emplacement de chute mort pour sa charge utile.

Une fois déployé sur un système, SideWalk utilise le creusement de processus pour injecter son code malveillant, qui a déjà été déchiffré par la porte dérobée. Le gang SparklingGoblin qui exploite la porte dérobée après avoir collecté des informations sur les systèmes qu'il infiltre, ont déclaré les chercheurs. Les cibles situées en Amérique du Nord jusqu'à présent ont été des écoles canadiennes et un détaillant d'ordinateurs basé aux États-Unis.

Par Zaib
August 26, 2021
Computer Security
Français
August 26, 2021
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.