APT SparklingGoblin атаковала высшие образовательные учреждения по всему миру

[душман]

Специалисты в области кибербезопасности антивирусной компании ESET обнаружили модульный бэкдор SideWalk, использующийся APT-группировкой под названием SparklingGoblin. Данный бэкдор имеет много общего с бэкдором CROSSWALK, используемым группой.

SideWalk — модульный бэкдор, который может динамически загружать дополнительные модули, отправленные с C&C сервера, использовать Google Docs для активации следующего этапа атаки (dead drop resolver) и платформу Cloudflare Workers в качестве C&C-сервера. Он также может корректно обрабатывать связь через прокси.

Хакерская группировка в основном нацелена на академический сектор в Восточной и Юго-Восточной Азии, но также проявила усиленный интерес к сфере образования в Канаде, медиакомпаниям в США и по крайней мере к одной неназванной компании по продаже компьютеров в США.

Неизвестно, на какие компании были совершены атаки и когда произошли взломы. Также неизвестно откуда родом группировка, однако ESET отметила, что некоторые из процедур APT были описаны в блоге на китайском языке, предполагая, что она может базироваться в Восточной Азии.

ESET классифицирует эту группу как APT, которая используют «непрерывные, тайные и изощренные хакерские методы для получения доступа к системе и пребывания внутри нее в течение длительного периода времени с потенциально разрушительными последствиями». По данным ESET, аналогичный набор инструментов, используемый SparklingGoblin, применялся в ходе серии атак на университеты Гонконга участниками группировки Winnti Group.