SparklingGoblin Nuovo APT prende di mira entità in Nord America
Dopo aver svolto ricerche e seguito un altro vettore di indagine, i ricercatori sulla sicurezza sembrano essersi imbattuti in un nuovo attore di minacce nel panorama digitale. Il nuovo APT o attore di minacce persistenti attivo è chiamato SparklingGoblin dai ricercatori. La sua attività è stata ricondotta ad attacchi diretti a istituzioni e imprese situate in Nord America.
SparklingGoblin è un nuovo APT ma secondo le osservazioni e le ricerche condotte finora, sembra essere collegato a un diverso attore di minacce noto. L'entità legata a SparklingGoblin è codificata come APT41 ed è conosciuta con diversi nomi, tra cui Wicked Panda e Winnti Group. I ricercatori ritengono che Winnti Group sia un attore di minacce che opera fuori dalla Cina, sponsorizzato dal governo del paese.
Il collegamento tra i due APT è stato trovato principalmente nel toolkit di infiltrazione che entrambi usano. SparklingGoblin è stato trovato utilizzando una nuova backdoor che ricorda uno strumento backdoor utilizzato in passato da Winnti Group.
La nuova istanza del malware utilizzata da SparklingGoblin si chiama SideWalk e ci sono una serie di somiglianze tra essa e uno strumento più vecchio noto ai ricercatori chiamato CrossWalk, utilizzato in passato da Winnti Group. Questo è stato uno dei principali indicatori che i due APT sono collegati, oltre al fatto che entrambi usano la lingua cinese.
I ricercatori non stavano cercando specificamente il nuovo attore delle minacce. Inizialmente stavano effettivamente conducendo un'indagine sull'attività di Winnti Group, ma si sono imbattuti in un campione di malware che li ha informati che si trattava di una nuova entità. Hanno trovato un campione di malware che è stato impacchettato proprio come CrossWalk di Winnti Group e si è comportato in modo simile, eseguendo il codice della shell utilizzando i comandi ricevuti da un server di comando e controllo.
Tuttavia, c'era una differenza fondamentale. Lo strumento SideWalk utilizzato da SparklingGoblin utilizzava una variante diversa del malware PlugX, chiamata Korplug dai ricercatori. È stato anche in grado di utilizzare i server cloud di Google Docs come punto morto per il suo carico utile.
Una volta implementato su un sistema, SideWalk utilizza il processo di svuotamento per iniettare il suo codice dannoso, che è già stato decifrato dalla backdoor. La banda SparklingGoblin che gestisce la backdoor è dopo aver raccolto informazioni dai sistemi in cui si infiltra, hanno affermato i ricercatori. Finora gli obiettivi localizzati in Nord America sono state le scuole canadesi e un rivenditore di computer con sede negli Stati Uniti.
