Компанія ESET повідомила про виявлення раніше невідомого бекдора

Компанія ESET повідомила про виявлення раніше невідомого бекдору Тротуару. Шкідливе програмне забезпечення використовувалося кіберзлочинною групою SparklingGoblin під час атак на комп'ютерну роздрібну компанію.

Бекдор може збирати інформацію про пристрій жертви і динамічно завантажувати додаткові модулі, відправлені з командно-контрольного сервера (C&C). Виявлене шкідливе ПЗ дуже схоже за структурою і реалізацією на інший бекдор цієї групи -  CROSSWALK.

Хоча коди Тротуару та CROSSWALK відрізняються, загрози мають багато архітектурних особливостей, таких як подібні методи антианалізу, макети даних та те, як ці дані обробляються під час виконання. Крім того, обидва бекдора мають модульну структуру і використовують проксі-сервер для підключення до C&C.

Варто зазначити, що група кіберзлочинців SparklingGoblin активна з середини 2020 року. Його цілями є організації по всьому світу, а основний осередок нападників спрямований на освітню індустрію і східноазійський регіон.

У листопаді 2019 року експерти ESET виявили атаку групи кіберзлочинців Віннті на кілька університетів Гонконгу. Тоді зловмисники використовували Backdoors ShadowPad і Spyder, а також шкідливе програмне забезпечення Winnti.

Потім у травні 2020 року дослідники ESET задокументували нову зловмисну діяльність, спрямовану проти одного з університетів, який раніше був скомпрометований Віннті. Тепер кіберзлочинці скористалися бекдором CROSSWALK. Хоча деякі особливості вказували на Віннті, під час цієї атаки використовувалися зовсім інші прийоми .

Після цього фахівці ESET виявили численні атаки на організації по всьому світу за допомогою аналогічних наборів інструментів. Дослідники вирішили виділити цю шкідливу діяльність в окрему групу, яка отримала назву SparklingGoblin, і яка пов'язана з Віннті, хоча і має деякі відмінності.

Інші новини