美国电脑零售公司遭遇全新的SideWalk木马攻击

美国一零售公司日前成为SideWalk木马的攻击目标，经溯源发现其属于一个中国高级黑客组织近期开展的部分活动。

据悉，该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名，而SideWalk木马攻击此前并未被安全公司记录。

知名安全公司ESET研究人员在追踪一个名为SparklingGoblin APT黑客组织时，发现这个被命名为SideWalk的木马。

对其特征进行比对后发现这是个没有任何记录的后门，但其与该组织使用的另一后门CROSSWALK有诸多相似之处。

安全人员判定两者可能是同一开发者制作的，因为SideWalk的木马和与CROSSWALK共享许多设计结构和实施细节。

分析发现，SideWalk是一个模块化的后门程序，能够实现动态的加载其C&C命令和控制服务器发出的各种附加模块。

该程序利用Google Docs作为死循环解析器、将Cloudflare作为C&C服务器，甚至还可以调配性处理代理背后的通信。

经分析，SideWalk是一个利用.NET加载器进行部署的加密壳代码，加载器负责从磁盘中读取加密的壳代码然后解密。

然后将解密代码通过技术手段注入合法进程中，再与C&C服务器建立通信，从Google Docs文档中检索加密IP地址。

由于其具备动态功能，因此可以从C&C服务器远程加载任意模块，并将受害者设备的相关进程信息回传远程服务器。

据分析，SparklingGoblin APT于2019年首次被安全人员追踪到，并被怀疑与几起针对多所香港大学的攻击活动有关。

自2020年中旬以来，并且是在2021年，SparklingGoblin APT一直非常活跃，尽管主要攻击目标位于东亚和东南亚，

但其目标已经逐渐开始转向世界各地的广泛组织和垂直行业，尤其是专注于学术领域，可以说攻击目标非常的垂直。

袭击对象包括巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、中国台湾以及美国等国家和地区的学术机构。

目前已知的其他攻击目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商甚至是地方政府。

此外，趋势科技也在追踪一个被他们命名为Earth Baku的黑客组织和使用的被称为ScrambleCross是恶意木马软件。

经对比发现，Earth Baku使用的ScrambleCross木马其实就是SparklingGoblin使用的SideWalk木马，称谓不同而已。