SparklingGoblin Nya APT -målenheter i Nordamerika
Efter att ha forskat och följt en annan undersökningsvektor verkar säkerhetsforskare ha stött på en helt ny hotaktör i det digitala landskapet. Den nya APT eller aktiva ihållande hotaktören heter SparklingGoblin av forskare. Dess aktivitet spårades till attacker riktade mot institutioner och företag i Nordamerika.
SparklingGoblin är en ny APT men enligt observationer och forskning som gjorts hittills verkar den vara kopplad till en annan känd hotaktör. Enheten som är kopplad till SparklingGoblin är kodad som APT41 och är känd under flera namn, inklusive Wicked Panda och Winnti Group. Forskare tror att Winnti Group är en hotaktör som verkar från Kina, sponsrad av landets regering.
Länken mellan de två APT hittades främst i infiltrationsverktygssatsen som de båda använder. SparklingGoblin hittades med en ny bakdörr som liknar ett bakdörrverktyg som tidigare använts av Winnti Group.
Den nya förekomsten av den skadliga programvaran som används av SparklingGoblin kallas SideWalk och det finns ett antal likheter mellan den och ett äldre verktyg som är känt för forskare som heter CrossWalk, som tidigare använts av Winnti Group. Detta var en av huvudindikatorerna för att de två APT -enheterna är länkade, liksom det faktum att de båda använder det kinesiska språket.
Forskare letade inte specifikt efter den nya hotaktören. De gjorde faktiskt ursprungligen en undersökning av Winnti Groups verksamhet, men stötte på ett skadligt program som tipsade dem om att detta var en ny enhet. De hittade ett exempel på skadlig programvara som förpackades precis som Winnti Groups CrossWalk och betedde sig på ett liknande sätt, genom att köra skalkod med kommandon från en kommando- och kontrollserver.
Det var dock en viktig skillnad. SideWalk -verktyget som används av SparklingGoblin använde en annan variant av PlugX -skadlig programvara, kallad Korplug av forskare. Det kunde också använda molnservrar från Google Docs som dödläge för sin nyttolast.
När den väl har distribuerats på ett system använder SideWalk processhålning för att injicera sin skadliga kod, som redan har dekrypterats av bakdörren. SparklingGoblin -gänget som driver bakdörren är efter att ha samlat information från systemen som det infiltrerar, säger forskare. Målen i Nordamerika har hittills varit kanadensiska skolor och en amerikansk återförsäljare av datorer.
