美国电脑零售公司遭遇全新的SideWalk木马攻击
美国一零售公司日前成为SideWalk木马的攻击目标,经溯源发现其属于一个中国高级黑客组织近期开展的部分活动。
据悉,该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名,而SideWalk木马攻击此前并未被安全公司记录。
知名安全公司ESET研究人员在追踪一个名为SparklingGoblin APT黑客组织时,发现这个被命名为SideWalk的木马。
对其特征进行比对后发现这是个没有任何记录的后门,但其与该组织使用的另一后门CROSSWALK有诸多相似之处。
安全人员判定两者可能是同一开发者制作的,因为SideWalk的木马和与CROSSWALK共享许多设计结构和实施细节。
分析发现,SideWalk是一个模块化的后门程序,能够实现动态的加载其C&C命令和控制服务器发出的各种附加模块。
该程序利用Google Docs作为死循环解析器、将Cloudflare作为C&C服务器,甚至还可以调配性处理代理背后的通信。
经分析,SideWalk是一个利用.NET加载器进行部署的加密壳代码,加载器负责从磁盘中读取加密的壳代码然后解密。
然后将解密代码通过技术手段注入合法进程中,再与C&C服务器建立通信,从Google Docs文档中检索加密IP地址。
由于其具备动态功能,因此可以从C&C服务器远程加载任意模块,并将受害者设备的相关进程信息回传远程服务器。
据分析,SparklingGoblin APT于2019年首次被安全人员追踪到,并被怀疑与几起针对多所香港大学的攻击活动有关。
自2020年中旬以来,并且是在2021年,SparklingGoblin APT一直非常活跃,尽管主要攻击目标位于东亚和东南亚,
但其目标已经逐渐开始转向世界各地的广泛组织和垂直行业,尤其是专注于学术领域,可以说攻击目标非常的垂直。
袭击对象包括巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、中国台湾以及美国等国家和地区的学术机构。
目前已知的其他攻击目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商甚至是地方政府。
此外,趋势科技也在追踪一个被他们命名为Earth Baku的黑客组织和使用的被称为ScrambleCross是恶意木马软件。
经对比发现,Earth Baku使用的ScrambleCross木马其实就是SparklingGoblin使用的SideWalk木马,称谓不同而已。