新的後門程式SideWalk攻擊美國電腦零售公司

下一個故事

新的後門程式SideWalk攻擊美國電腦零售公司

國際資安大廠ESET近期發現一個名為SparklingGoblin 的 APT 組織,用新的後門程式SideWalk攻擊一家位於美國的電腦零售公司,而該組織主要是以專門針對東亞和東南亞實體的網路攻擊而聞名。自2019年首次出現以來,SparklingGoblin與幾個針對香港大學的攻擊有關,他們使用Spyder和ShadowPad等後門程式,後者近年來已成為多個駭客團隊的首選惡意軟體。


ESET是在持續追蹤SparklingGoblin的過程當中發現了這個新的後門程式,SideWalk也被研判與Winnti umbrella組織有關,並指出其與另一個被稱為Crosswalk的後門程式相似,後者在2019年被同一駭客團隊所使用。

SideWalk是一個模組化的後門程式,可動態載入C2中繼站提供的額外模組,而這個後門程式運用Google Docs作為固定情報投放點解析器(Dead Drop Resolver,亦作為情報交換點解析器),並使用Cloudflare Workers作為C2中繼站。同時,SideWalk也具備處理透過代理伺服器(Proxy)連線的通訊能力。

SideWalk被描述為一個加密的Shellcode,它通過一個. NET載入器部署,該載入器負責從磁碟上讀取加密的Shellcode,對其進行解密,並使用進程空心化技術將其注入合法進程。 感染的下一階段是SideWalkC&C伺服器建立通訊,惡意軟體從Google Docs文檔中檢索加密的IP位址。

除了使用HTTPS協議進行C&C通訊外,SideWalk還被設計為載入從伺服器發送的任意外掛程式,積累有關運行進程的資訊,並將結果外洩回遠端伺服器。 SideWalk是SparklingGoblin APT組織使用的一個以前沒有被記錄的後門程式,它很可能是由Crosswalk背後的相同開發者製作的,因它與Crosswalk許多設計結構和實施細節存在多個相似的特質。

另外在過去的一年裡,SparklingGoblin襲擊了世界各地的不同組織和產業,特別是位於巴林、加拿大、喬治亞、印度、澳門、新加坡、韓國、臺灣和美國的學術機構,還有其他包括媒體公司、宗教組織、電子商務平臺、電腦和電子產品製造商以及地方政府等。


原文出處:https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/


#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/