全新SideWalk后門攻擊針對美國電腦零售業務

斯洛伐克網絡安全公司ESET在持續跟蹤名為SparklingGoblin的高級威脅過程當中發現了這個攻擊，被認為與Winnti umbrella組織有關，并指出其與另一個被稱為Crosswalk的后門相似，后者在2019年被同一黑客組織使用。

SideWalk是一個模塊化的后門，可以動態加載從其C&C命令和控制服務器發送的附加模塊，利用Google Docs作為死循環解析器，以及Cloudflare作為C&C服務器，它還可以適當處理代理背后的通信。自2019年首次出現以來，SparklingGoblin與幾個針對香港大學的攻擊有關，使用Spyder和ShadowPad等后門，后者近年來已成為多個中國黑客集團的首選惡意軟件。

在過去的一年里，這些集團襲擊了世界各地的廣泛組織和垂直行業，特別是位于巴林、加拿大、格魯吉亞、印度、澳門、新加坡、韓國、臺灣和美國的學術機構，其他目標實體包括媒體公司、宗教組織、電子商務平臺、計算機和電子產品制造商以及地方政府。

SideWalk被描述為一個加密的殼代碼，它通過一個.NET加載器部署，該加載器負責從磁盤上讀取加密的殼代碼，對其進行解密，并使用進程空心化技術將其注入合法進程。感染的下一階段是SideWalk與C&C服務器建立通信，惡意軟件從Google Docs文檔中檢索加密的IP地址。

除了使用HTTPS協議進行C&C通信外，SideWalk還被設計為加載從服務器發送的任意插件，積累有關運行進程的信息，并將結果外泄回遠程服務器。SideWalk是SparklingGoblin APT組織使用的一個以前沒有記錄的后門。它很可能是由CROSSWALK背后的相同開發者制作的，它與CROSSWALK共享許多設計結構和實施細節。