Новый APT SparklingGoblin нацелен на организации в Северной Америке

Проведя исследование и проследив другой вектор расследования, исследователи безопасности, похоже, натолкнулись на совершенно нового злоумышленника на цифровом ландшафте. Исследователи называют новый APT или активный постоянный источник угрозы SparklingGoblin. Его деятельность была связана с атаками на учреждения и предприятия, расположенные в Северной Америке.

SparklingGoblin - это новый APT, но, согласно проведенным наблюдениям и исследованиям, похоже, связан с другим известным злоумышленником. Сущность, связанная с SparklingGoblin, кодируется как APT41 и известна под несколькими именами, включая Wicked Panda и Winnti Group. Исследователи полагают, что Winnti Group - это злоумышленник, действующий из Китая и спонсируемый правительством страны.

Связь между двумя APT была обнаружена в основном в инструментарии проникновения, который они оба используют. SparklingGoblin был обнаружен с помощью нового бэкдора, который напоминает бэкдор-инструмент, который ранее использовался Winnti Group.

Новый экземпляр вредоносного ПО, используемый SparklingGoblin, называется SideWalk, и есть ряд общих черт между ним и более старым инструментом, известным исследователям под названием CrossWalk, который использовался Winnti Group в прошлом. Это был один из основных индикаторов того, что два APT связаны между собой, а также тот факт, что оба они используют китайский язык.

Исследователи не обращали особого внимания на нового злоумышленника. На самом деле они первоначально проводили расследование деятельности Winnti Group, но натолкнулись на образец вредоносного ПО, который дал им понять, что это новая организация. Они обнаружили образец вредоносной программы, который был упакован так же, как CrossWalk от Winnti Group, и вел себя аналогичным образом, выполняя код оболочки с использованием команд, полученных от сервера управления и контроля.

Однако было одно ключевое отличие. Инструмент SideWalk, используемый SparklingGoblin, использовал другой вариант вредоносной программы PlugX, которую исследователи назвали Korplug. Он также смог использовать облачные серверы Google Docs в качестве мертвого места для своей полезной нагрузки.

После развертывания в системе SideWalk использует пустоту процесса для внедрения своего вредоносного кода, который уже был расшифрован бэкдором. Исследователи заявили, что банда SparklingGoblin управляет бэкдором после сбора информации из систем, в которые она проникает. До сих пор целями, расположенными в Северной Америке, были канадские школы и розничный продавец компьютеров в США.