El Nuevo Actor de Amenazas SparklingGoblin Apunta a Empresas y Organizaciones Estadounidenses
Los investigadores de seguridad han detectado una campaña en curso realizada por un actor de amenazas persistentes avanzadas (APT) que parece ser nuevo en el panorama de la seguridad de la información. Los investigadores llamaron SparklingGoblin a la nueva entidad y se ha dirigido a empresas y organizaciones ubicadas en América del Norte.
SparklingGoblin es un recién llegado a la escena, pero los investigadores creen que tiene vínculos con una APT previamente existente llamada Winnti Group o Wicked Panda, que se cree que es un grupo de piratas informáticos chinos patrocinados por el estado. Wicked Panda fue el centro de atención por primera vez hace casi una década.
SparklingGoblin utiliza lo que los investigadores describen como una innovadora puerta trasera modular para infiltrarse en las redes de las víctimas. La herramienta se llama SideWalk y tiene sorprendentes similitudes con una de las puertas traseras que Wicked Panda utilizó en el pasado, llamada CrossWalk. Ambos son conjuntos de herramientas modulares y pueden ejecutar comandos de shell y código en el sistema de la víctima, enviados por el servidor de comando y control.
Se encontró al nuevo actor de amenazas, SparklingGoblin, atacando instalaciones educativas, un minorista y empresas de medios en los EE. UU. Y Canadá.
El descubrimiento del nuevo actor de amenazas frente a SparklingGoblin ocurrió mientras los investigadores intentaban rastrear la actividad relacionada con la APT Wicked Panda más antigua. Durante su trabajo, encontraron una nueva muestra de malware que resultó ser la nueva herramienta utilizada por SparklingGoblin. Había múltiples similitudes en la forma en que se empaquetaba el malware y en cómo funcionaba, pero era lo suficientemente diferente como para atribuirlo a un nuevo actor de amenazas.
Una característica única de la nueva puerta trasera SideWalk es que, si bien se veía muy similar a la muestra CrossWalk existente, usaba una variante de la familia de malware PlugX, llamada Korplug. Además, la puerta trasera usaba Google Docs como espacio de almacenamiento para cargas útiles, una ocurrencia cada vez más común entre el malware.
La puerta trasera utiliza el cifrado de su código de shell malicioso e inyecta ese código a través del proceso que se vaciando en los procesos legítimos del sistema existente.
En sus ataques, SparklingGoblin parece estar detrás de la exfiltración de información y busca obtener direcciones IP, nombres de usuario e información del sistema de sus sistemas víctimas. No se puede decir con total certeza cuál es el propósito último de esos ataques sensibles. Se cree que el grupo también opera fuera de China, similar a lo que creen los investigadores sobre Wicked Panda.