新しいSparklingGoblin脅威アクターがアメリカの企業や組織を標的

セキュリティ研究者は、infosecの状況に慣れていないように見える、高度な持続的脅威（APT）アクターによって実施されている進行中のキャンペーンを発見しました。新しいエンティティは、研究者によってSparklingGoblinと呼ばれ、北米にある企業や組織をターゲットにしています。

SparklingGoblinがシーンに新しい到着のですが、研究者は、それは既存のAPTと呼ばれるにつながりがあると考えていWinntiグループや邪悪なパンダを、ハッカーの状態が後援する中国のグループであることを信じていました。邪悪なパンダは、ほぼ10年前に最初に脚光を浴びました。

SparklingGoblinは、研究者が革新的なモジュラーバックドアと表現しているものを使用して、被害者のネットワークに侵入します。このツールはSideWalkと呼ばれ、CrossWalkと呼ばれる過去に使用されたバックドアの1つであるWickedPandaと非常によく似ています。どちらもモジュラーツールキットであり、被害者のシステムでシェルコマンドとコードを実行し、コマンドと制御サーバーから送信できます。

新しい脅威アクターであるSparklingGoblinは、米国とカナダの教育施設、小売業者、メディア企業を攻撃していることが判明しました。

SparklingGoblinに直面した新しい脅威アクターの発見は、研究者が古いWicked PandaAPTに関連する活動を追跡しようとしたときに起こりました。彼らの作業中に、SparklingGoblinが使用する新しいツールであることが判明した新しいマルウェアサンプルを発見しました。マルウェアのパッケージ化方法と動作方法には複数の類似点がありましたが、それは十分に異なっていたため、新しい脅威アクターによるものでした。

新しいSideWalkバックドアのユニークな機能の1つは、既存のCrossWalkサンプルと非常によく似ているものの、Korplugという名前のPlugXマルウェアファミリーの亜種を使用していることです。さらに、バックドアはペイロードのストレージスペースとしてGoogleドキュメントを使用しました。これはマルウェアの間でますます一般的に発生しています。

バックドアは、悪意のあるシェルコードの暗号化を使用し、プロセスの空洞化を通じてそのコードを正当な既存のシステムプロセスに挿入します。

その攻撃では、SparklingGoblinは情報の漏えいの後であるようで、被害者のシステムからIPアドレス、ユーザー名、およびシステム情報を取得しようとします。これらのフィーラー攻撃の最終的な目的が何であるかは、完全に確実に言うことはできません。このグループは、研究者がウィキッドパンダについて信じているのと同様に、中国以外でも活動していると考えられています。