SparklingGoblinの新しいAPTは、北米のエンティティをターゲットにしています
調査を行い、別の調査ベクトルをたどった後、セキュリティ研究者はデジタル環境でまったく新しい脅威アクターに遭遇したようです。新しいAPTまたはアクティブな永続的な脅威アクターは、研究者によってSparklingGoblinと呼ばれています。その活動は、北米にある機関や企業を標的とした攻撃にまでさかのぼりました。
SparklingGoblinは新しいAPTですが、これまでに行われた観察と調査によると、別の既知の脅威アクターにリンクされているようです。 SparklingGoblinにリンクされているエンティティは、APT41として成文化されており、WickedPandaやWinntiGroupなどのいくつかの名前で知られています。研究者たちは、Winnti Groupは、中国政府が後援し、中国を拠点に活動している脅威アクターであると信じています。
2つのAPT間のリンクは、主に両方が使用する浸透ツールキットで見つかりました。 SparklingGoblinは、WinntiGroupが過去に使用したバックドアツールに似た新しいバックドアを使用して発見されました。
SparklingGoblinが使用するマルウェアの新しいインスタンスはSideWalkと呼ばれ、過去にWinntiGroupが使用したCrossWalkと呼ばれる研究者に知られている古いツールと多くの類似点があります。これは、2つのAPTがリンクされていること、および両方が中国語を使用していることを示す主要な指標の1つでした。
研究者たちは、特に新しい脅威アクターを探していませんでした。彼らは実際には元々WinntiGroupの活動を調査していましたが、マルウェアのサンプルに出くわし、これが新しいエンティティであることがわかりました。彼らは、Winnti GroupのCrossWalkと同じようにパッケージ化され、同様に動作し、コマンドおよび制御サーバーから受信したコマンドを使用してシェルコードを実行するマルウェアサンプルを発見しました。
ただし、重要な違いが1つありました。 SparklingGoblinが使用するSideWalkツールは、研究者によってKorplugと呼ばれるPlugXマルウェアの別の亜種を使用していました。また、ペイロードのデッドドロップの場所としてGoogleDocsクラウドサーバーを使用することもできました。
SideWalkは、システムにデプロイされると、プロセスの空洞化を使用して、バックドアによってすでに復号化されている悪意のあるコードを挿入します。バックドアを操作しているSparklingGoblinギャングは、侵入したシステムから情報を収集した後だと研究者らは述べています。これまでのところ北米にあるターゲットは、カナダの学校と米国を拠点とするコンピューターの小売業者です。