SparklingGoblin Nowy APT atakuje podmioty w Ameryce Północnej
Wydaje się, że po przeprowadzeniu badań i śledzeniu innego wektora dochodzenia badacze bezpieczeństwa natknęli się na zupełnie nowego gracza zajmującego się zagrożeniami w cyfrowym krajobrazie. Nowy APT lub aktywny trwały aktor zagrożenia nazywa się SparklingGoblin przez naukowców. Jej działalność utożsamiana była z atakami wymierzonymi w instytucje i firmy zlokalizowane w Ameryce Północnej.
SparklingGoblin to nowy APT, ale zgodnie z dotychczasowymi obserwacjami i badaniami wydaje się, że jest powiązany z innym znanym podmiotem atakującym. Podmiot powiązany ze SparklingGoblin jest skodyfikowany jako APT41 i jest znany pod kilkoma nazwami, w tym Wicked Panda i Winnti Group. Naukowcy uważają, że Winnti Group jest podmiotem działającym poza Chinami, sponsorowanym przez rząd tego kraju.
Powiązanie między tymi dwoma APT zostało znalezione głównie w zestawie narzędzi do infiltracji, którego obaj używają. SparklingGoblin został znaleziony przy użyciu nowego backdoora, który przypomina narzędzie backdoora używane w przeszłości przez Winnti Group.
Nowa instancja szkodliwego oprogramowania wykorzystywanego przez SparklingGoblin nosi nazwę SideWalk i istnieje wiele podobieństw między nią a starszym narzędziem znanym badaczom o nazwie CrossWalk, używanym w przeszłości przez Winnti Group. Był to jeden z głównych wskaźników, że oba APT są ze sobą powiązane, a także fakt, że oba używają języka chińskiego.
Badacze nie zwracali szczególnej uwagi na nowego aktora zajmującego się zagrożeniami. W rzeczywistości początkowo prowadzili dochodzenie w sprawie działalności Winnti Group, ale natknęli się na próbkę złośliwego oprogramowania, która poinformowała ich, że jest to nowy podmiot. Znaleźli próbkę złośliwego oprogramowania, która była spakowana podobnie jak CrossWalk firmy Winnti Group i zachowywała się w podobny sposób, wykonując kod powłoki za pomocą poleceń otrzymanych z serwera dowodzenia i kontroli.
Była jednak jedna kluczowa różnica. Narzędzie SideWalk wykorzystywane przez SparklingGoblin wykorzystywało inny wariant szkodliwego oprogramowania PlugX, zwany przez badaczy Korplug. Był także w stanie wykorzystać serwery Google Docs w chmurze jako martwą lokalizację dla swojego ładunku.
Po wdrożeniu w systemie SideWalk wykorzystuje wydrążanie procesu, aby wstrzyknąć swój złośliwy kod, który został już odszyfrowany przez backdoora. Gang SparklingGoblin operujący backdoorem jest po zebraniu informacji z systemów, które infiltruje, stwierdzili naukowcy. Celami znajdującymi się do tej pory w Ameryce Północnej były kanadyjskie szkoły i amerykański sprzedawca komputerów.
