SparklingGoblin Nye APT målretter enheter i Nord -Amerika
Etter å ha forsket og fulgt en annen undersøkelsesvektor, ser det ut til at sikkerhetsforskere har støtt på en helt ny trusselaktør i det digitale landskapet. Den nye APT eller aktive vedvarende trusselaktøren kalles SparklingGoblin av forskere. Aktiviteten ble sporet til angrep rettet mot institusjoner og virksomheter i Nord -Amerika.
SparklingGoblin er en ny APT, men ifølge observasjonene og forskningen som er utført så langt, ser det ut til å være knyttet til en annen kjent trusselsaktør. Enheten knyttet til SparklingGoblin er kodet som APT41 og er kjent under flere navn, inkludert Wicked Panda og Winnti Group. Forskere mener Winnti Group er en trusselaktør som opererer utenfor Kina, sponset av landets regjering.
Koblingen mellom de to APT -ene ble hovedsakelig funnet i infiltrasjonsverktøyet de begge bruker. SparklingGoblin ble funnet ved hjelp av en ny bakdør som ligner et bakdørverktøy som tidligere ble brukt av Winnti Group.
Den nye forekomsten av skadelig programvare som brukes av SparklingGoblin kalles SideWalk, og det er en rekke likheter mellom den og et eldre verktøy kjent for forskere kalt CrossWalk, brukt av Winnti Group tidligere. Dette var en av hovedindikatorene for at de to APT -ene er knyttet sammen, samt det faktum at de begge bruker kinesisk språk.
Forskere så ikke spesielt etter den nye trusselaktøren. De utførte faktisk opprinnelig en undersøkelse av aktiviteten til Winnti Group, men kjørte over en malware -prøve som tipset dem om at dette var en ny enhet. De fant en malware -prøve som ble pakket akkurat som Winnti Groups CrossWalk og oppført seg på en lignende måte, og utført skallkode ved hjelp av kommandoer mottatt fra en kommando- og kontrollserver.
Imidlertid var det en viktig forskjell. SideWalk -verktøyet som ble brukt av SparklingGoblin brukte en annen variant av PlugX -skadelig programvare, kalt Korplug av forskere. Det var også i stand til å bruke Google Docs -skyservere som dødssted for nyttelasten.
Når den er distribuert på et system, bruker SideWalk prosesshulling for å injisere den ondsinnede koden, som allerede er dekryptert av bakdøren. SparklingGoblin -gjengen som driver bakdøren er etter å ha samlet informasjon fra systemene den infiltrerer, uttalte forskere. Målene i Nord-Amerika så langt har vært kanadiske skoler og en USA-basert forhandler av datamaskiner.
