斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击,被认为与Winnti umbrella组织有关,并指出其与另一个被称为Crosswalk的后门相似,后者在2019年被同一黑客组织使用。
SideWalk是一个模块化的后门,可以动态加载从其C&C命令和控制服务器发送的附加模块,利用Google Docs作为死循环解析器,以及Cloudflare作为C&C服务器,它还可以适当处理代理背后的通信。自2019年首次出现以来,SparklingGoblin与几个针对香港大学的攻击有关,使用Spyder和ShadowPad等后门,后者近年来已成为多个中国黑客集团的首选恶意软件。
在过去的一年里,这些集团袭击了世界各地的广泛组织和垂直行业,特别是位于巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构,其他目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商以及地方政府。
SideWalk被描述为一个加密的壳代码,它通过一个.NET加载器部署,该加载器负责从磁盘上读取加密的壳代码,对其进行解密,并使用进程空心化技术将其注入合法进程。感染的下一阶段是SideWalk与C&C服务器建立通信,恶意软件从Google Docs文档中检索加密的IP地址。
除了使用HTTPS协议进行C&C通信外,SideWalk还被设计为加载从服务器发送的任意插件,积累有关运行进程的信息,并将结果外泄回远程服务器。SideWalk是SparklingGoblin APT组织使用的一个以前没有记录的后门。它很可能是由CROSSWALK背后的相同开发者制作的,它与CROSSWALK共享许多设计结构和实施细节。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/112770.html