SparklingGoblin 新的 APT 目標針對北美的實體

在進行研究並跟踪另一項調查之後，安全研究人員似乎在數字領域遇到了一個全新的威脅參與者。研究人員將新的 APT 或主動持續威脅行為者稱為 SparklingGoblin。其活動可追溯到針對位於北美的機構和企業的攻擊。

SparklingGoblin 是一種新的 APT，但根據迄今為止進行的觀察和研究，它似乎與不同的已知威脅行為者有關。與 SparklingGoblin 相關聯的實體被編為 APT41，並有多個名稱，包括 Wicked Panda 和 Winnti Group。研究人員認為，Winnti Group 是在中國政府資助下在中國境外運營的威脅行為者。

兩個 APT 之間的聯繫主要在它們都使用的滲透工具包中找到。 SparklingGoblin 被發現使用一種新的後門，類似於 Winnti Group 過去使用的後門工具。

SparklingGoblin 使用的惡意軟件的新實例稱為 SideWalk，它與 Winnti Group 過去使用的名為 CrossWalk 的研究人員已知的舊工具之間有許多相似之處。這是兩個APT相互關聯的主要指標之一，也是它們都使用中文的事實。

研究人員並沒有專門尋找新的威脅行為者。他們實際上最初是在對 Winnti Group 的活動進行調查，但偶然發現了一個惡意軟件樣本，向他們暗示這是一個新實體。他們發現了一個惡意軟件樣本，它的打包方式與 Winnti Group 的 CrossWalk 類似，行為方式類似，使用從命令和控制服務器接收到的命令執行 shell 代碼。

但是，有一個關鍵的區別。 SparklingGoblin 使用的 SideWalk 工具使用了 PlugX 惡意軟件的不同變體，研究人員稱之為 Korplug。它還能夠使用 Google Docs 雲服務器作為其有效負載的死點位置。

一旦部署到系統上，SideWalk 就會使用進程挖空來注入其惡意代碼，該代碼已經被後門解密。研究人員表示，操作後門的 SparklingGoblin 團伙是在從它滲透的系統中收集信息之後。迄今為止，位於北美的目標是加拿大學校和一家美國計算機零售商。