Truyền thông Hoa Kỳ, các nhà bán lẻ được nhắm mục tiêu bởi SparklingGoblin APT mới:
APT mới sử dụng một backdoor khơng có giấy tờ để xâm nhập vào các lĩnh vực giáo dục,
bán lẻ và chính phủ.
SideWalk có thể nguy hiểm như CROSSWALK
/> />APT mới sử dụng một backdoor không có giấy tờ để xâm nhập vào các lĩnh vực giáo dục, bán lẻ
và chính phủ.
Một cybergang quốc tế mới nổi đang mở rộng mục tiêu bao gồm các công ty truyền thông
Bắc Mỹ, các trường đại học và một nhà bán lẻ máy tính. Nhóm APT mới tên là
SparklingGoblin sử dụng 1 backdoor mới là SideWalk, dùng để thâm nhập vào các hệ
thống phòng thủ an ninh mạng.
SparklingGoblin, theo các nhà nghiên cứu ESET, người đã đặt tên và phát hiện ra nhóm tội
phạm và backdoor, là một nhánh của một Nhóm APT Winnti khác, được xác định lần đầu tiên
vào năm 2013 bởi Kaspersky. ESET cũng cho biết trong một báo cáo hôm thứ Ba rằng backdoor
SideWalk tương tự như một backdoor được Winnti sử dụng có tên là Crosswalk.
Crosswalk và SideWalk, theo ESET, đều là “backdoor mô-đun được sử dụng để lấy thơng tin
hệ thống và có thể chạy shellcode do máy chủ C&C gửi”.
Nhóm, trước đây tập trung tấn công vào các khu vực ở Macao, Hồng Kơng và Đài Loan vào năm
2020, vẫn đang tích cực nhắm mục tiêu nạn nhân thông qua các chiến dịch bán lẻ bao gồm một
loạt các payload độc hại bao gồm tệp PDF (với tệp LNK), giả mạo Trình phát Adobe Flash và bị
bẫy Các tệp JavaScript. Các nhà nghiên cứu cũng đưa ra giả thuyết rằng những thỏa hiệp ban
đầu của các nạn nhân cũng có thể bao gồm cả các hố nước.
Sự ra đời của APT
ESET cho biết lần đầu tiên họ biết đến SparklingGoblin vào tháng 5 năm 2020 khi theo dõi
Winnti APT. Các nhà nghiên cứu cho biết đó là khi họ tình cờ gặp một trình đóng gói phần mềm
độc hại bất thường được sử dụng để cung cấp các payload độc hại cho nạn nhân. Một phân tích
về phần mềm độc hại bên trong trình đóng gói đã tiết lộ “các mẫu có chứa hiện vật từ cả
Equation Group và Winnti Group,” các nhà nghiên cứu đã viết trong một phân tích.
Equation Group, được liên kết với Cơ quan An ninh Quốc gia Hoa Kỳ, đã có nhiều bí mật bị rị rỉ
trực tuyến bởi một nhóm có tên ShadowBrokers vào năm 2017.
“payload trong các mẫu này là một bộ phận cấy ghép được quy cho Equation. Nó được gọi là
PeddleCheap (A.K.A. DanderSosystemz) theo tên dự án được thấy trong các rò rỉ của Shadow

Brokers, ”các nhà nghiên cứu của ESET viết.
Các nhà nghiên cứu của ESET cho biết các phân tích sâu hơn cho thấy phần mềm độc hại có
liên quan đến Winnti, nhưng khác biệt rõ ràng theo những cách khác. ESET viết: “Mặc dù chiến
dịch đó thể hiện các liên kết đến Winnti Group, nhưng phương thức hoạt động khá khác biệt và
chúng tơi bắt đầu theo dõi nó như một tác nhân đe dọa riêng biệt (SparklingGoblin).
Các chỉ báo độc đáo đó bao gồm một phiên bản Crosswalk lần đầu tiên sử dụng một biến thể
PlugX có tên là Korplug kết hợp với việc sử dụng Google Tài liệu làm nơi lưu trữ các payload
độc hại - được gọi là trình giải quyết thả chết.
“Sau thỏa hiệp với trường đại học Hồng Kông, chúng tôi đã quan sát thấy nhiều thỏa hiệp chống


lại các tổ chức trên khắp thế giới sử dụng các bộ công cụ và TTP tương tự. Xem xét các [chiến
thuật, kỹ thuật và thủ tục hoặc TTP] cụ thể đó và để tránh gây thêm sự nhầm lẫn chung quanh
nhãn 'Winnti Group', chúng tơi quyết định ghi nhóm hoạt động này là một nhóm mới, mà chúng
tơi đặt tên là SparklingGoblin, và Chúng tôi tin rằng được kết nối với Winnti Group trong khi thể
hiện một số khác biệt, ”ESET viết.
Một cửa sau mô-đun mới: SideWalk
Tương tự như backdoor mô-đun Crosswalk và Winnti, SideWalk là tên của ESET cho cửa sau
của SparklingGoblin.
“SideWalk là một backdoor mơ-đun có thể tự động tải các mô-đun bổ sung được gửi từ máy chủ
C&C của nó, sử dụng Google Tài liệu làm trình giải quyết lỗi thả chết và nhân viên Cloudflare
làm máy chủ C&C. Các nhà nghiên cứu cho biết, nó cũng có thể xử lý thơng tin liên lạc đằng sau
proxy một cách chính xác.
Các nhà nghiên cứu lưu ý rằng backdoor SideWalk là shellcode được mã hóa ChaCha20 được
tải từ đĩa bởi trình tải .NET dựa trên SparklingGoblin’s InstallUtil. InstallUtil (hoặc Installuti.exe) là
một công cụ hệ thống Windows phát hiện và thực thi các thành phần của trình cài đặt.
Các nhà nghiên cứu viết: “Bộ tải chịu trách nhiệm đọc mã shell đã mã hóa từ đĩa, giải mã nó và
đưa nó vào một quy trình hợp pháp bằng cách sử dụng kỹ thuật làm rỗng quy trình.
Làm rỗng quy trình là một phương pháp thực thi mã tùy ý trong khơng gian địa chỉ của một quy
trình trực tiếp riêng biệt, theo mô tả MITER của kỹ thuật. Cuộc tấn công cho phép kẻ thù chạy

mã độc hại trong bối cảnh của một quy trình hợp pháp.
Phân tích kỹ thuật của ESET bao gồm giải mã dữ liệu và chuỗi chuỗi của payload thông qua
phiên bản giải mã của phương pháp RunShellcode được gọi bởi tiện ích Windows InstallUtil.exe.
Chân trời mới cho một APT mới
Trong các chiến dịch ban đầu, SparklingGoblin được cho là đặt theo tên người dùng và địa chỉ
IP từ một nhà bán lẻ máy tính của Hoa Kỳ và các trường học ở Canada. Nhóm chủ yếu nhắm
mục tiêu vào các lĩnh vực học thuật ở Đông và Đông Nam Á.
Dữ liệu được SparklingGoblin nhắm mục tiêu bao gồm:
Cấu hình IP
Phiên bản của hệ điều hành
Tên tài khoản
Tên máy tính
Tên tệp
ID quy trình hiện tại
Thời điểm hiện tại
Các nhà nghiên cứu cũng không rõ APT được đặt ở đâu. ESET lưu ý rằng có những manh mối
cho thấy SparklingGoblin có thể hoạt động ở ngồi Đơng Á, dựa trên ngơn ngữ Trung Quốc
được các tác nhân đe dọa sử dụng.
“SparklingGoblin là một nhóm có mức độ kết nối nhất định với Winnti Group. Các nhà nghiên
cứu đã viết:
ESET đã ghi lại một danh sách đầy đủ các chỉ số về sự xâm phạm và các mẫu trên kho lưu trữ


GitHub của mình.
----------IOC
/>SHA-1
1077A3DC0D9CCFBB73BD9F2E6B72BC67ADDCF2AB
153B8E46458BD65A68A89D258997E314FEF72181
829AADBDE42DF14CE8ED06AC02AD697A6C9798FE
9762BC1C4CB04FE8EAEEF50A4378A8D188D85360

EA44E9FBDBE5906A7FC469A988D83587E8E4B20D
AA5B5F24BDFB049EF51BBB6246CB56CEC89752BF
Network
update.facebookint.workers[.]dev
cdn.cloudfiare.workers[.]dev
104.21.49[.]220
80.85.155[.]80
193.38.54[.]110
Filenames
C:\Windows\System32\Tasks\Microsoft\Windows\WindowsUpdate\WebService
C:\windows\system32\tasks\Microsoft\Windows\Ras\RasTaskStart
iislog.tmp
mscorsecimpl.tlb
C_25749.NLS
Microsoft.WebService.targets
----------Các nhà nghiên cứu của ESET gần đây đã phát hiện ra một cửa hậu mô-đun mới không có giấy
tờ, SideWalk, đang được sử dụng bởi một nhóm APT mà chúng tôi đặt tên là SparklingGoblin;
Backdoor này đã được sử dụng trong một trong những chiến dịch gần đây của SparklingGoblin
nhắm mục tiêu đến một công ty bán lẻ máy tính có trụ sở tại Hoa Kỳ. Cửa hậu này có nhiều
điểm tương đồng với một cửa sau khác được nhóm sử dụng: CROSSWALK.
SideWalk là một cửa hậu mơ-đun có thể tự động tải các mơ-đun bổ sung được gửi từ máy chủ
C&C của nó, sử dụng Google Tài liệu làm trình giải quyết thả chết và nhân viên Cloudflare làm
máy chủ C&C. Nó cũng có thể xử lý đúng cách giao tiếp đằng sau proxy.
SparklingGoblin, một thành viên của gia đình Winnti
Vào tháng 11 năm 2019, chúng tôi đã phát hiện ra một chiến dịch của Winnti Group nhắm mục
tiêu đến một số trường đại học Hồng Kông đã bắt đầu vào cuối tháng 10 năm 2019 và chúng tôi
đã xuất bản một bài đăng trên blog về chiến dịch này. Trong chiến dịch đó, những kẻ tấn công
chủ yếu sử dụng cửa hậu ShadowPad và phần mềm độc hại Winnti, nhưng cũng có thể sử dụng
cửa sau Spyder và một cửa sau dựa trên DarkShell (một RAT mã nguồn mở) mà chúng tôi đặt
tên là Doraemon.

Tiếp theo chiến dịch đó, vào tháng 5 năm 2020 (như được ghi lại trong Báo cáo Đe doạ Quý 2
năm 2020), chúng tôi đã quan sát thấy một chiến dịch mới nhắm mục tiêu vào một trong những
trường đại học đã bị Winnti Group xâm nhập vào tháng 10 năm 2019, nơi những kẻ tấn công sử
dụng cửa hậu CROSSWALK và một biến thể PlugX Sử dụng Google Tài liệu làm trình giải quyết
vấn đề. Mặc dù chiến dịch đó thể hiện các liên kết đến Winnti Group, nhưng mô thức hoạt động


khá khác biệt và chúng tôi bắt đầu theo dõi nó như một tác nhân đe dọa riêng biệt.
Sau thỏa hiệp của trường đại học Hồng Kông, chúng tôi đã quan sát thấy nhiều thỏa hiệp chống
lại các tổ chức trên khắp thế giới sử dụng các bộ công cụ và TTP tương tự. Xem xét các TTP cụ
thể đó và để tránh thêm vào sự nhầm lẫn chung quanh nhãn “Winnti Group”, chúng tôi quyết
định ghi lại cụm hoạt động này là một nhóm mới, chúng tơi đã đặt tên là SparklingGoblin và
chúng tôi tin rằng được kết nối với Winnti Group trong khi trưng bày Một số khác biệt.
Vài ngày trước khi dự định xuất bản bài đăng blog này, Trend Micro đã xuất bản một báo cáo về
một nhóm mà các nhà nghiên cứu của họ theo dõi là Earth Baku và một chiến dịch sử dụng
phần mềm độc hại mà họ gọi là cửa hậu ScrambleCross. Chúng tương ứng với nhóm mà chúng
tơi theo dõi là SparklingGoblin và cửa hậu SideWalk được ghi lại ở đây.
Nạn nhân
Kể từ giữa năm 2020, theo đo lường từ xa của chúng tơi, SparklingGoblin đã hoạt động rất tích
cực và vẫn như vậy vào năm 2021. Mặc dù nhóm nhắm mục tiêu chủ yếu đến Đông và Đông
Nam Á, chúng tôi đã thấy SparklingGoblin nhắm mục tiêu đến nhiều tổ chức và ngành dọc trên
khắp thế giới, với một Tập trung vào lĩnh vực học thuật, nhưng bao gồm:
Các ngành học ở Macao, Hồng Kông và Đài Loan
Một tổ chức tơn giáo ở Đài Loan
Một nhà sản xuất máy tính và điện tử ở Đài Loan
Các tổ chức chính phủ ở Đông Nam Á
Một nền tảng thương mại điện tử ở Hàn Quốc
Ngành giáo dục ở Canada
Các công ty truyền thông ở Ấn Độ, Bahrain và Hoa Kỳ
Một công ty bán lẻ máy tính có trụ sở tại Hoa Kỳ

Chính quyền địa phương ở đất nước Georgia
Các tổ chức không xác định ở Hàn Quốc và Singapore
Hình 1. Phân bố địa lý của các mục tiêu SparklingGoblin
SideWalk
Cấu trúc của SideWalk được tóm tắt trong Hình 2. Backdoor SideWalk là shellcode được mã
hóa ChaCha20 được tải từ đĩa bởi bộ nạp .NET dựa trên SparklingGoblin’s InstallUtil.



Ngồi ra, như chúng tơi sẽ trình bày bên dưới, cửa sau SideWalk chia sẻ nhiều điểm tương tự
với CROSSWALK, là một cửa sau mô-đun được FireEye gán cho APT41 và được Carbon Black
ghi lại công khai.
Giai đoạn đầu
SideWalk’s shellcode được triển khai mã hóa trên đĩa dưới tên Microsoft.WebService.targets và
được tải bằng cách sử dụng trình tải .NET dựa trên SparklingGoblin’s InstallUtil, được xáo trộn
với ConfuserEx đã sửa đổi, một trình bảo vệ nguồn mở cho các ứng dụng .NET thường được
nhóm sử dụng.
Các trình tải .NET của SparklingGoblin vẫn tồn tại thông qua tác vụ đã lên lịch sử dụng một trong
các tên tệp sau:
RasTaskStart RasTaskManager WebService
Nó thực thi trình nạp bằng tiện ích InstallUtil.exe bằng lệnh sau:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe
/logfile= /LogToConsole=false /ParentProc=none /U
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallWebService.sql
Trong đó InstallWebService.sql là trình tải .NET độc hại. Khi bắt đầu với cờ / U, như ở đây,
phương thức Gỡ cài đặt từ lớp USCInstaller trong phương thức khơng gian tên UPrivate của
trình nạp .NET được gọi (xem Hình 3).

Cấu trúc phân cấp của bộ tải dựa trên InstallUtil
Một phiên bản giải mã của phương thức RunShellcode được gọi bằng phương thức Gỡ cài đặt

được hiển thị trong Hình 4.


Phương thức trình nạp .NET được gọi bằng phương thức Gỡ cài đặt và giải mã và đưa mã
shellcode vào.
Như chúng ta có thể thấy, bộ tải chịu trách nhiệm đọc mã shell đã mã hóa từ đĩa, giải mã nó và
đưa nó vào một quy trình hợp pháp bằng cách sử dụng kỹ thuật làm rỗng quy trình. Lưu ý rằng
thuật toán giải mã được sử dụng khác nhau giữa các mẫu.
Ngoài ra, hãy lưu ý rằng SparklingGoblin sử dụng nhiều trình tải mã shell khác nhau như trình tải
Motnug và trình tải dựa trên ChaCha20. Motnug là một trình tải mã shell khá đơn giản thường
được sử dụng để tải cửa hậu CROSSWALK, trong khi các trình tải dựa trên ChaCha20, như tên
gọi của chúng, được sử dụng để giải mã và tải mã shell được mã hóa bằng thuật toán
ChaCha20. Việc triển khai ChaCha20 được sử dụng trong bộ tải này giống với cách được sử
dụng trong cửa hậu SideWalk được mô tả bên dưới. Việc triển khai này dựa trên bộ đếm (chế độ
CTR), sử dụng khóa nonce 12 byte và khóa 32 byte với giá trị bộ đếm là 11, dẫn đến trạng thái
ban đầu sau:

Offset

0x00

0x04

0x08

0x12

0x00

"expa"


"nd 3"

"2-by"

"te k"

0x16

Key

Key

Key

Key


0x32

Key

Key

Key

Key

0x48


0x0000000B

Nonce

Nonce

Nonce

Giá trị bộ đếm 0x0000000B khác với cách triển khai ChaCha20 thơng thường, trong đó giá trị
này thường được đặt thành 0.
Lưu ý rằng các trình tải dựa trên ChaCha20 này trước đây đã được ghi lại trong một bài đăng
blog từ Positive Technologies.
Khởi tạo
Tương tự như CROSSWALK, mã shell của SideWalk sử dụng cấu trúc chính để lưu trữ các
chuỗi, biến, Bảng địa chỉ nhập (IAT) và dữ liệu cấu hình của nó. Cấu trúc này sau đó được
chuyển như một đối số cho tất cả các hàm cần nó. Trong q trình khởi tạo của SideWalk, đầu
tiên các chuỗi được giải mã và thêm vào cấu trúc, sau đó phần cấu trúc chịu trách nhiệm lưu trữ
IAT được điền và cuối cùng là cấu hình của SideWalk được giải mã.
Giải mã nhóm dữ liệu và chuỗi
Ngay khi bắt đầu thực thi, phần dữ liệu ở cuối shellcode được giải mã bằng vịng lặp XOR và
khóa 16 byte này: B0 1D 1E 4B 68 76 FF 2E 49 16 EB 2B 74 4C BB 3A. Phần này, sau khi được
giải mã, chứa các chuỗi sẽ được SideWalk sử dụng, bao gồm:
Khóa đăng ký
Khóa giải mã
Đường dẫn để ghi tệp nhận được từ máy chủ C&C
Phương thức HTTP sẽ được sử dụng
Tham số yêu cầu HTTP
URL được sử dụng để truy xuất cấu hình proxy cục bộ
Dấu phân cách được sử dụng để truy xuất địa chỉ IP được mã hóa từ tài liệu Google Documents
Nhóm chuỗi được giải mã được liệt kê trong Hình 5 bên dưới.

SOFTWARE\Microsoft\Cryptography
Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyServer
kT7fDpaQy9UhMz3
ZFYP0BV7SJ2LUH1Q9WEC8RTMXAKG6D3NO5I4LAHXN1EDRVC
PBKW0X8MEOUSCA6LQJYH4R97VNI5T31FD2ZG697NYYGB81W
o71UwSfKrH0NkRhjOmXqFGMAWDplz4s
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
Kernel32.dll
GetTickCount64
GetTickCount
texplorer.exe
%AllUsersProfile%\UTXP\nat\
%02X


GET
POST
Mozilla/5.0 Chrome/72.0.3626.109 Safari/537.36
gtsid:
gtuvid:




0B93ACF2
PublicKey:AE6849916EB80C28FE99FC0F3EFF
CC1F99653E93305D
httpss
Global\JanzYQtWDWFejAFR


Chuỗi cấu hình được giải mã từ SideWalk
Lưu ý rằng tương tự như SideWalk, CROSSWALK cũng bắt đầu thực thi bằng cách giải mã
nhóm chuỗi sử dụng vịng lặp XOR và khóa 16 byte.
Giải mã lệnh
Sau khi giải mã phần dữ liệu ở cuối shellcode, SideWalk sau đó tiến hành giải mã phần còn lại
của các lệnh (bắt đầu từ độ lệch 0x528) bằng cách sử dụng cùng một vịng lặp XOR với khóa 16
byte khác:

26 74 94 78 36 60 C1 0C 41 56 0E 60 B1 54 D7 31.
Chống giả mạo
Khi nó đã giải mã dữ liệu và mã của mình, SideWalk sẽ tiến hành xác minh tính tồn vẹn của nó
bằng cách tính tốn tổng kiểm tra 32 bit, xoay kết quả sang phải 13 bit ở mỗi từ 32 bit và so
sánh giá trị băm với một tham chiếu tương ứng với Mã shell chưa được đánh dấu. Nếu băm
khác với giá trị tham chiếu, nó sẽ thốt. Điều này cho phép shellcode phát hiện các điểm ngắt
hoặc các bản vá đối với mã của nó và tránh thực thi trong những trường hợp như vậy. Mã được
dịch ngược tương ứng được hiển thị trong Hình 6.



Ngồi ra, như chúng tơi sẽ trình bày bên dưới, cửa sau SideWalk chia sẻ nhiều điểm tương tự
với CROSSWALK, là một cửa sau mô-đun được FireEye gán cho APT41 và được Carbon Black
ghi lại công khai.