Neuer SparklingGoblin Threat Actor zielt auf amerikanische Unternehmen und Organisationen ab
Sicherheitsforscher haben eine laufende Kampagne entdeckt, die von einem Advanced Persistent Threat (APT) -Akteur durchgeführt wird, der in der Infosec-Landschaft neu zu sein scheint. Die neue Einheit wurde von Forschern SparklingGoblin genannt und zielt auf Unternehmen und Organisationen in Nordamerika ab.
SparklingGoblin ist ein Neuzugang in der Szene, aber Forscher glauben, dass es Verbindungen zu einem zuvor bestehenden APT namens Winnti Group oder Wicked Panda hat, von dem angenommen wird, dass es sich um eine staatlich geförderte chinesische Hackergruppe handelt. Wicked Panda kam vor fast einem Jahrzehnt zum ersten Mal ins Rampenlicht.
SparklingGoblin verwendet, was Forscher als innovative modulare Hintertür bezeichnen, um die Netzwerke der Opfer zu infiltrieren. Das Tool heißt SideWalk und weist auffallende Ähnlichkeiten mit einer der Backdoors auf, die Wicked Panda in der Vergangenheit verwendet hat, namens CrossWalk. Beide sind modulare Toolkits und können Shell-Befehle und Code auf dem Opfersystem ausführen, die vom Befehls- und Kontrollserver gesendet werden.
Der neue Bedrohungsakteur SparklingGoblin wurde bei Angriffen auf Bildungseinrichtungen, einen Einzelhändler und Medienunternehmen in den USA und Kanada gefunden.
Die Entdeckung des neuen Bedrohungsakteurs im Angesicht von SparklingGoblin geschah, als Forscher versuchten, Aktivitäten im Zusammenhang mit dem älteren Wicked Panda APT aufzuspüren. Während ihrer Arbeit fanden sie ein neues Malware-Beispiel, das sich als das neue Tool von SparklingGoblin herausstellte. Es gab mehrere Ähnlichkeiten in der Art und Weise, wie die Malware verpackt wurde und wie sie funktionierte, aber sie war so unterschiedlich, dass sie einem neuen Bedrohungsakteur zugeschrieben wurde.
Ein einzigartiges Merkmal der neuen SideWalk-Hintertür ist, dass sie zwar dem bestehenden CrossWalk-Beispiel sehr ähnlich sah, aber eine Variante der PlugX-Malware-Familie namens Korplug verwendete. Darüber hinaus nutzte die Hintertür Google Docs als Speicherplatz für Nutzlasten – ein immer häufiger auftretendes Vorkommen bei Malware.
Die Hintertür verwendet die Verschlüsselung ihres bösartigen Shell-Codes und injiziert diesen Code durch Prozessaushöhlen in legitime, vorhandene Systemprozesse.
Bei seinen Angriffen scheint SparklingGoblin nach Informationsexfiltration zu sein und versucht, IP-Adressen, Benutzernamen und Systeminformationen von seinen Opfersystemen zu erobern. Was der letztendliche Zweck dieser Fühlerangriffe ist, kann nicht mit absoluter Sicherheit gesagt werden. Es wird angenommen, dass die Gruppe auch von China aus operiert, ähnlich wie Forscher über Wicked Panda glauben.