A SparklingGoblin új APT Észak -Amerikában lévő szervezeteket céloz meg
Miután kutatást végeztek és egy másik vizsgálati vektort követtek, úgy tűnik, a biztonsági kutatók egy vadonatúj fenyegetés szereplőjével találkoztak a digitális tájon. Az új APT -t vagy aktív állandó fenyegetés -szereplőt SparklingGoblin -nak hívják a kutatók. Tevékenységét az észak -amerikai intézmények és vállalkozások elleni támadásokra vezette vissza.
A SparklingGoblin egy új APT, de az eddigi megfigyelések és kutatások szerint úgy tűnik, hogy egy másik ismert fenyegetésszereplőhöz kapcsolódik. A SparklingGoblin -hez kapcsolódó entitás APT41 kódolású, és több néven ismert, köztük a Wicked Panda és a Winnti Group. A kutatók úgy vélik, hogy a Winnti Group fenyegető szereplő Kínában, és az ország kormánya szponzorálja.
A két APT közötti kapcsolat elsősorban a mindkettő által használt beszivárgási eszköztárban található. A SparklingGoblin -t egy új hátsó ajtó segítségével találták meg, amely hasonlít a Winnti Group által korábban használt hátsó ajtószerszámhoz.
A SparklingGoblin által használt rosszindulatú programok új példányát SideWalk -nak hívják, és számos hasonlóság van közöttük és egy régebbi, a kutatók által ismert, CrossWalk nevű eszköz között, amelyet a Winnti Group használt korábban. Ez volt az egyik fő mutató, amely szerint a két APT összefügg, valamint az is, hogy mindketten kínai nyelvet használnak.
A kutatók nem kifejezetten az új fenyegetőszereplőt keresték. Valójában eredetileg vizsgálatot folytattak a Winnti Group tevékenységével kapcsolatban, de ráakadtak egy rosszindulatú program mintára, amely azt jelezte nekik, hogy ez egy új entitás. Találtak egy rosszindulatú program mintát, amelyet ugyanúgy csomagoltak, mint a Winnti Group CrossWalk -ját, és hasonló módon viselkedtek, és parancs- és vezérlőkiszolgálótól kapott parancsok segítségével hajtották végre a shell kódot.
Volt azonban egy lényeges különbség. A SparklingGoblin által használt SideWalk eszköz a PlugX malware egy másik változatát használta, a kutatók Korplug néven. A Google Dokumentumok felhőszervereit is használhatta hasznos terhelésének holtpontjaként.
A SideWalk a rendszeren való telepítés után a folyamat üregesítésével befecskendezi rosszindulatú kódját, amelyet a hátsó ajtó már visszafejtett. A SparklingGoblin banda a hátsó ajtót üzemelteti, miután információkat gyűjtött az általa beszivárgott rendszerekről - állapították meg a kutatók. Az észak-amerikai célpontok eddig a kanadai iskolák és az Egyesült Államokban található számítógép-kiskereskedők voltak.