一家位於美國的電腦零售公司成為SideWalk攻擊的目標,這種攻擊以前從未被發現,是一個中國高級黑客組織最近開展的活動一部分,該組織主要以專門針對東亞和東南亞實體的網絡攻擊而聞名。
斯洛伐克網絡安全公司ESET在持續跟蹤名為SparklingGoblin的高級威脅過程當中發現了這個攻擊,被認為與Winnti umbrella組織有關,並指出其與另一個被稱為Crosswalk的後門相似,後者在2019年被同一黑客組織使用。
SideWalk是一個模塊化的後門,可以動態加載從其C&C命令和控制服務器發送的附加模塊,利用Google Docs作為死循環解析器,以及Cloudflare作為C&C服務器,它還可以適當處理代理背後的通信。自2019年首次出現以來,SparklingGoblin與幾個針對香港大學的攻擊有關,使用Spyder和ShadowPad等後門,後者近年來已成為多個中國黑客集團的首選惡意軟件。
在過去的一年裡,這些集團襲擊了世界各地的廣泛組織和垂直行業,特別是位於巴林、加拿大、格魯吉亞、印度、澳門、新加坡、韓國、台灣和美國的學術機構,其他目標實體包括媒體公司、宗教組織、電子商務平台、計算機和電子產品製造商以及地方政府。
SideWalk被描述為一個加密的殼代碼,它通過一個.NET加載器部署,該加載器負責從磁盤上讀取加密的殼代碼,對其進行解密,並使用進程空心化技術將其注入合法進程。感染的下一階段是SideWalk與C&C服務器建立通信,惡意軟件從Google Docs文檔中檢索加密的IP地址。
除了使用HTTPS協議進行C&C通信外,SideWalk還被設計為加載從服務器發送的任意插件,積累有關運行進程的信息,並將結果外泄回遠程服務器。SideWalk是SparklingGoblin APT組織使用的一個以前沒有記錄的後門。它很可能是由CROSSWALK背後的相同開發者製作的,它與CROSSWALK共享許多設計結構和實施細節。