Skip to content

新的後門程式SideWalk攻擊美國電腦零售公司

新的後門程式SideWalk攻擊美國電腦零售公司

國際資安大廠ESET近期發現一個名為SparklingGoblin 的 APT 組織,用新的後門程式SideWalk攻擊一家位於美國的電腦零售公司,而該組織主要是以專門針對東亞和東南亞實體的網路攻擊而聞名。自2019年首次出現以來,SparklingGoblin與幾個針對香港大學的攻擊有關,他們使用Spyder和ShadowPad等後門程式,後者近年來已成為多個駭客團隊的首選惡意軟體。

ESET是在持續追蹤SparklingGoblin的過程當中發現了這個新的後門程式,SideWalk也被研判與Winnti umbrella組織有關,並指出其與另一個被稱為Crosswalk的後門程式相似,後者在2019年被同一駭客團隊所使用。

SideWalk是一個模組化的後門程式,可動態載入C2中繼站提供的額外模組,而這個後門程式運用Google Docs作為固定情報投放點解析器(Dead Drop Resolver,亦作為情報交換點解析器),並使用Cloudflare Workers作為C2中繼站。同時,SideWalk也具備處理透過代理伺服器(Proxy)連線的通訊能力。

SideWalk被描述為一個加密的Shellcode,它通過一個. NET載入器部署,該載入器負責從磁碟上讀取加密的Shellcode,對其進行解密,並使用進程空心化技術將其注入合法進程。 感染的下一階段是SideWalkC&C伺服器建立通訊,惡意軟體從Google Docs文檔中檢索加密的IP位址。

除了使用HTTPS協議進行C&C通訊外,SideWalk還被設計為載入從伺服器發送的任意外掛程式,積累有關運行進程的資訊,並將結果外洩回遠端伺服器。 SideWalk是SparklingGoblin APT組織使用的一個以前沒有被記錄的後門程式,它很可能是由Crosswalk背後的相同開發者製作的,因它與Crosswalk許多設計結構和實施細節存在多個相似的特質。

另外在過去的一年裡,SparklingGoblin襲擊了世界各地的不同組織和產業,特別是位於巴林、加拿大、喬治亞、印度、澳門、新加坡、韓國、臺灣和美國的學術機構,還有其他包括媒體公司、宗教組織、電子商務平臺、電腦和電子產品製造商以及地方政府等。

原文出處:https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/

關於台灣二版Version 2
台灣二版(V2)是亞洲其中一間最有活力的IT公司,發展及代理各種互聯網、資訊科技、資訊安全、多媒體產品,包括通訊系統等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。台灣二版(V2)的銷售範圍包括香港、中國、台灣、新加坡、澳門等地區,客戶涵蓋各產業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞洲各城市的消費市場客戶。 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟體提供商,其 獲獎產品——NOD32防病毒軟體系統,能夠針對各種已知或未知病毒、間諜軟體 (spyware)、rootkits和其他惡意軟體為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲 得了更多的Virus Bulletin 100%獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳 能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事 處,代理機構覆蓋全球超過100個國家。