Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении неизвестного ранее бэкдора SideWalk. Вредоносная программа использовалась группой киберпреступников SparklingGoblin во время атак на компанию по розничной торговле компьютерами.

Бэкдор может собирать информацию об устройстве жертвы и динамически загружать дополнительные модули, отправленные из командного сервера (C&C). Обнаруженная вредоносная программа очень похожа по структуре и реализации на другой бэкдор этой группы ―  CROSSWALK.

Несмотря на то, что коды SideWalk и CROSSWALK отличаются, угрозы имеют много общих архитектурных особенностей, в частности похожие техники защиты от анализа, макеты данных, а также способы обработки этих данных во время выполнения. Кроме этого, оба бэкдора имеют модульную структуру и используют прокси-сервер для соединения с C&C.

Стоит отметить, что группа киберпреступников SparklingGoblin активна с середины 2020 года. Ее целями становятся организации во всем мире, а основной фокус злоумышленников направлен на образовательную отрасль и регион Восточной Азии.

Новый бэкдор SideWalk является разработкой SparklingGoblin - исследование ESET.

Рис. 1. Цели группы злоумышленников SparklingGoblin

SparklingGoblin – новая группа или часть Winnti?

В ноябре 2019 специалисты ESET обнаружили атаку группы киберпреступников Winnti на несколько университетов Гонконга. Тогда злоумышленники использовали бэкдоры ShadowPad и Spyder, а также вредоносное программное обеспечение Winnti.

Затем в мае 2020 исследователи ESET зафиксировали новую вредоносную активность, нацеленную на один из университетов, который ранее был скомпрометирован Winnti. Теперь киберпреступники использовали бэкдор CROSSWALK. Несмотря на то, что некоторые особенности указывали на Winnti, во время этой атаки были использованы совершенно другие техники.

После этого специалисты ESET выявили многочисленные атаки на организации по всему миру с использованием подобных наборов инструментов. Эту вредоносную активность исследователи решили выделить в отдельную группу, которая была названа SparklingGoblin, и которая связана с Winnti, хотя и имеет некоторые отличия.

Источник ESET 

По вопросам приобретения продуктов ESET обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua