Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2022/09/sparklinggoblin-apt-hackers-using-new.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Uma variante Linux de um backdoor conhecido como SideWalk foi usada para atingir uma universidade de Hong Kong em fevereiro de 2021, ressaltando as habilidades multiplataforma do implante.
A empresa eslovaca de segurança cibernética ESET, que detectou o malware na rede da universidade, atribuiu o backdoor a um ator do estado-nação apelidado de SparklingGoblin. Diz-se que a universidade sem nome já foi alvo do grupo em maio de 2020 durante os protestos estudantis.
“O grupo continuamente visou essa organização por um longo período de tempo, comprometendo com sucesso vários servidores-chave, incluindo um servidor de impressão, um servidor de e-mail e um servidor usado para gerenciar horários de alunos e inscrições em cursos”, disse a ESET em um relatório compartilhado com o The Notícias de hackers.
SparklingGoblin é o nome dado a um grupo chinês de ameaças persistentes avançadas (APT) com conexões ao guarda-chuva Winnti (também conhecido como APT41, Barium ou Wicked Panda). É conhecido principalmente por seus ataques direcionados a várias entidades no leste e sudeste da Ásia pelo menos desde 2019, com foco específico no setor acadêmico.
Em agosto de 2021, a ESET desenterrou um novo malware personalizado do Windows com o codinome SideWalk, que foi aproveitado exclusivamente pelo ator para atacar uma empresa de varejo de computadores sem nome com sede nos EUA.
Descobertas subsequentes da Symantec, parte do software Broadcom, vincularam o uso do SideWalk a um grupo de ataque de espionagem que ele rastreia sob o apelido Grayfly, ao mesmo tempo em que apontam as semelhanças do malware com o Crosswalk.
“As Táticas, Técnicas e Procedimentos do SparklingGoblin (TTPs) se sobrepõem parcialmente aos TTPs do APT41”, disse Mathieu Tartare, pesquisador de malware da ESET, ao The Hacker News. "A definição de Grayfly dada pela Symantec parece (pelo menos parcialmente) se sobrepor à SparklingGoblin."
A pesquisa mais recente da ESET mergulha na contraparte Linux do SideWalk (originalmente chamada StageClient em julho de 2021), com a análise também revelando que o Spectre RAT, um botnet Linux que veio à tona em setembro de 2020, é de fato uma variante Linux do SideWalk também.
Além de várias semelhanças de código entre o SideWalk Linux e várias ferramentas do SparklingGoblin, uma das amostras do Linux foi encontrada usando um endereço de comando e controle (66.42.103[.]222) que foi usado anteriormente pelo SparklingGoblin.
Outros pontos em comum incluem o uso da mesma implementação ChaCha20 sob medida, vários threads para executar uma tarefa específica, algoritmo ChaCha20 para descriptografar sua configuração e uma carga útil idêntica do resolvedor de ponto morto.
Apesar dessas sobreposições, há algumas mudanças significativas, sendo a mais notável a mudança de C para C++, adição de novos módulos embutidos para executar tarefas agendadas e coletar informações do sistema e alterações em quatro comandos que não são manipulados na versão Linux .
"Como vimos a variante Linux apenas uma vez em nossa telemetria (implantada em uma universidade de Hong Kong em fevereiro de 2021), pode-se considerar a variante Linux menos prevalente - mas também temos menos visibilidade em sistemas Linux, o que poderia explicar isso, ", disse Tártaro.
"Por outro lado, a variante Spectre Linux é usada contra câmeras IP e dispositivos NVR e DVR (nos quais não temos visibilidade) e é disseminada em massa ao explorar uma vulnerabilidade nesses dispositivos".
Postar um comentário