首页 网络病毒 正文
  • 本文约983字,阅读需5分钟
  • 3728
  • 0

美国电脑零售公司遭遇全新的SideWalk木马攻击

摘要

美国一零售公司日前成为SideWalk木马的攻击目标,经溯源发现其属于一个中国高级黑客组织近期开展的部分活动。

美国一零售公司日前成为SideWalk木马的攻击目标,经溯源发现其属于一个中国高级黑客组织近期开展的部分活动。

据悉,该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名,而SideWalk木马攻击此前并未被安全公司记录。

知名安全公司ESET研究人员在追踪一个名为SparklingGoblin APT黑客组织时,发现这个被命名为SideWalk的木马。

对其特征进行比对后发现这是个没有任何记录的后门,但其与该组织使用的另一后门CROSSWALK有诸多相似之处。

安全人员判定两者可能是同一开发者制作的,因为SideWalk的木马和与CROSSWALK共享许多设计结构和实施细节。

分析发现,SideWalk是一个模块化的后门程序,能够实现动态的加载其C&C命令和控制服务器发出的各种附加模块。

该程序利用Google Docs作为死循环解析器、将Cloudflare作为C&C服务器,甚至还可以调配性处理代理背后的通信。

经分析,SideWalk是一个利用.NET加载器进行部署的加密壳代码,加载器负责从磁盘中读取加密的壳代码然后解密。

然后将解密代码通过技术手段注入合法进程中,再与C&C服务器建立通信,从Google Docs文档中检索加密IP地址。

美国电脑零售公司遭遇全新的SideWalk木马攻击

由于其具备动态功能,因此可以从C&C服务器远程加载任意模块,并将受害者设备的相关进程信息回传远程服务器。

据分析,SparklingGoblin APT于2019年首次被安全人员追踪到,并被怀疑与几起针对多所香港大学的攻击活动有关。

自2020年中旬以来,并且是在2021年,SparklingGoblin APT一直非常活跃,尽管主要攻击目标位于东亚和东南亚,

但其目标已经逐渐开始转向世界各地的广泛组织和垂直行业,尤其是专注于学术领域,可以说攻击目标非常的垂直。

袭击对象包括巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、中国台湾以及美国等国家和地区的学术机构。

目前已知的其他攻击目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商甚至是地方政府。

此外,趋势科技也在追踪一个被他们命名为Earth Baku的黑客组织和使用的被称为ScrambleCross是恶意木马软件。

经对比发现,Earth Baku使用的ScrambleCross木马其实就是SparklingGoblin使用的SideWalk木马,称谓不同而已。

评论
更换验证码
友情链接