Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення невідомого раніше бекдора SideWalk. Шкідлива програма використовувалася групою кіберзлочинців SparklingGoblin під час атак на компанію з роздрібної торгівлі комп’ютерами.

Бекдор може збирати інформацію про пристрій жертви та динамічно завантажувати додаткові модулі, надіслані з командного сервера (C&C). Виявлена шкідлива програма дуже подібна за структурою та реалізацією до іншого бекдора цієї групи ― CROSSWALK.

Незважаючи на те, що коди SideWalk та CROSSWALK відрізняються, загрози мають багато спільних архітектурних особливостей, зокрема схожі техніки захисту від аналізу, макети даних, а також способи обробки цих даних під час виконання. Крім цього, обидва бекдори мають модульну структуру та використовують проксі-сервер для з’єднання з C&C.

Варто зазначити, що група кіберзлочинців SparklingGoblin активна з середини 2020 року. Її цілями стають організації у всьому світі, а основнийфокусзловмисників спрямований наосвітню галузь та регіон Східної Азії.

Новий бекдор SideWalk є розробкою SparklingGoblin - дослідження ESET.

Рис. 1. Цілі групи зловмисників SparklingGoblin

SparklingGoblin – нова група чи частина Winnti?

У листопаді 2019 року спеціалісти ESET виявили атаку групи кіберзлочинців Winnti на кілька університетів Гонконгу. Тоді зловмисники використовували бекдори ShadowPad та Spyder, а також шкідливе програмне забезпечення Winnti.

Згодом у травні 2020 року дослідники ESET зафіксували нову шкідливу активність, націлену на один із університетів, який раніше був скомпрометований Winnti. Тепер кіберзлочинці використовували бекдор CROSSWALK. Незважаючи на те, що деякі особливості вказували на Winnti, під час цієї атаки були використані зовсім інші техніки.

Після цього спеціалісти ESET виявили численні атаки на організації у всьому світу з використанням подібних наборів інструментів. Цю шкідливу активність дослідники вирішили виокремити в окрему групу, яку було названо SparklingGoblin, і яка пов’язана з Winnti, хоч і має деякі відмінності.

Джерело ESET 

З питань придбання продуктів ESET звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua