Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security Le nouvel acteur de la menace SparklingGoblin cible les...

Le nouvel acteur de la menace SparklingGoblin cible les entreprises et organisations américaines

Par Mura en Computer Security
Se traduisent par :
Français

Des chercheurs en sécurité ont repéré une campagne en cours menée par un acteur de menace persistante avancée (APT) qui semble être nouveau dans le paysage de l'infosec. La nouvelle entité a été appelée SparklingGoblin par les chercheurs et cible des entreprises et des organisations situées en Amérique du Nord.

SparklingGoblin est un nouvel arrivant sur la scène, mais les chercheurs pensent qu'il a des liens avec un APT déjà existant appelé Winnti Group ou Wicked Panda, qui serait un groupe de pirates chinois parrainé par l'État. Wicked Panda est apparu pour la première fois sous les projecteurs il y a près de dix ans.

SparklingGoblin utilise ce que les chercheurs décrivent comme une porte dérobée modulaire innovante pour infiltrer les réseaux des victimes. L'outil s'appelle SideWalk et présente des similitudes frappantes avec l'une des portes dérobées Wicked Panda utilisées dans le passé, appelée CrossWalk. Les deux sont des boîtes à outils modulaires et peuvent exécuter des commandes shell et du code sur le système victime, envoyés par le serveur de commande et de contrôle.

Le nouvel acteur de la menace, SparklingGoblin, a été découvert en train d'attaquer des établissements d'enseignement, un détaillant et des entreprises de médias aux États-Unis et au Canada.

La découverte du nouvel acteur menaçant face à SparklingGoblin s'est produite alors que les chercheurs tentaient de traquer les activités liées à l'ancien Wicked Panda APT. Au cours de leur travail, ils ont trouvé un nouvel échantillon de malware qui s'est avéré être le nouvel outil utilisé par SparklingGoblin. Il y avait de nombreuses similitudes dans la façon dont le malware était conditionné et comment il fonctionnait, mais il était suffisamment différent pour qu'il soit attribué à un nouvel acteur de la menace.

Une caractéristique unique de la nouvelle porte dérobée SideWalk est que même si elle ressemblait beaucoup à l'échantillon CrossWalk existant, elle utilisait une variante de la famille de logiciels malveillants PlugX, nommée Korplug. De plus, la porte dérobée utilisait Google Docs comme espace de stockage pour les charges utiles - un phénomène de plus en plus courant parmi les logiciels malveillants.

La porte dérobée utilise le cryptage de son code shell malveillant et injecte ce code via un processus creusé dans des processus système légitimes et existants.

Dans ses attaques, SparklingGoblin semble rechercher l'exfiltration d'informations et cherche à récupérer les adresses IP, les noms d'utilisateur et les informations système de ses systèmes victimes. On ne peut pas dire avec une certitude absolue quel est le but ultime de ces attaques par palpation. On pense que le groupe opère également à partir de Chine, comme ce que pensent les chercheurs de Wicked Panda.

Chargement...