SparklingGoblin Novas Entidades de Alvos APT na América do Norte
Depois de fazer pesquisas e seguir outro vetor de investigação, os pesquisadores de segurança parecem ter encontrado um novo ator de ameaças no cenário digital. O novo APT ou ator de ameaça persistente ativo é chamado de SparklingGoblin pelos pesquisadores. Sua atividade foi rastreada até ataques contra instituições e empresas localizadas na América do Norte.
SparklingGoblin é um novo APT, mas de acordo com as observações e pesquisas realizadas até agora, ele parece estar vinculado a um outro ator de ameaça conhecido. A entidade vinculada ao SparklingGoblin é codificada como APT41 e é conhecida por vários nomes, incluindo Wicked Panda e Winnti Group. Os pesquisadores acreditam que o Winnti Group é um ator de ameaças que opera fora da China, patrocinado pelo governo do país.
A ligação entre os dois APTs foi encontrada principalmente no kit de ferramentas de infiltração que ambos usam. SparklingGoblin foi encontrado usando um novo backdoor que se assemelha a uma ferramenta de backdoor usada no passado pelo Winnti Group.
A nova instância do malware usado pelo SparklingGoblin é chamada SideWalk e há uma série de semelhanças entre ele e uma ferramenta mais antiga conhecida dos pesquisadores chamada CrossWalk, usada pelo Winnti Group no passado. Este foi um dos principais indicadores de que as duas APTs estão interligadas, bem como o facto de ambas utilizarem a língua chinesa.
Os pesquisadores não estavam procurando especificamente pelo novo ator da ameaça. Na verdade, eles estavam originalmente conduzindo uma investigação sobre a atividade do Winnti Group, mas encontraram uma amostra de malware que os alertou de que se tratava de uma nova entidade. Eles encontraram uma amostra de malware empacotada exatamente como o CrossWalk do Winnti Group e se comportava de maneira semelhante, executando o código do shell usando comandos recebidos de um servidor de comando e controle.
No entanto, havia uma diferença fundamental. A ferramenta SideWalk usada pelo SparklingGoblin usou uma variante diferente do malware PlugX, chamada Korplug pelos pesquisadores. Ele também foi capaz de usar os servidores em nuvem do Google Docs como local de descarte para sua carga útil.
Uma vez implantado em um sistema, o SideWalk usa o processo de esvaziamento para injetar seu código malicioso, que já foi descriptografado pelo backdoor. A gangue SparklingGoblin que opera a porta dos fundos é depois de coletar informações dos sistemas em que se infiltra, afirmaram os pesquisadores. Os alvos localizados na América do Norte até agora têm sido escolas canadenses e um varejista de computadores com sede nos Estados Unidos.
