SparklingGoblin 新的 APT 目標針對北美的實體
在進行研究並跟踪另一項調查之後,安全研究人員似乎在數字領域遇到了一個全新的威脅參與者。研究人員將新的 APT 或主動持續威脅行為者稱為 SparklingGoblin。其活動可追溯到針對位於北美的機構和企業的攻擊。
SparklingGoblin 是一種新的 APT,但根據迄今為止進行的觀察和研究,它似乎與不同的已知威脅行為者有關。與 SparklingGoblin 相關聯的實體被編為 APT41,並有多個名稱,包括 Wicked Panda 和 Winnti Group。研究人員認為,Winnti Group 是在中國政府資助下在中國境外運營的威脅行為者。
兩個 APT 之間的聯繫主要在它們都使用的滲透工具包中找到。 SparklingGoblin 被發現使用一種新的後門,類似於 Winnti Group 過去使用的後門工具。
SparklingGoblin 使用的惡意軟件的新實例稱為 SideWalk,它與 Winnti Group 過去使用的名為 CrossWalk 的研究人員已知的舊工具之間有許多相似之處。這是兩個APT相互關聯的主要指標之一,也是它們都使用中文的事實。
研究人員並沒有專門尋找新的威脅行為者。他們實際上最初是在對 Winnti Group 的活動進行調查,但偶然發現了一個惡意軟件樣本,向他們暗示這是一個新實體。他們發現了一個惡意軟件樣本,它的打包方式與 Winnti Group 的 CrossWalk 類似,行為方式類似,使用從命令和控制服務器接收到的命令執行 shell 代碼。
但是,有一個關鍵的區別。 SparklingGoblin 使用的 SideWalk 工具使用了 PlugX 惡意軟件的不同變體,研究人員稱之為 Korplug。它還能夠使用 Google Docs 雲服務器作為其有效負載的死點位置。
一旦部署到系統上,SideWalk 就會使用進程挖空來注入其惡意代碼,該代碼已經被後門解密。研究人員表示,操作後門的 SparklingGoblin 團伙是在從它滲透的系統中收集信息之後。迄今為止,位於北美的目標是加拿大學校和一家美國計算機零售商。