全新SideWalk后门攻击针对美国电脑零售业务

斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击，被认为与Winnti umbrella组织有关，并指出其与另一个被称为Crosswalk的后门相似，后者在2019年被同一黑客组织使用。

SideWalk是一个模块化的后门，可以动态加载从其C&C命令和控制服务器发送的附加模块，利用Google Docs作为死循环解析器，以及Cloudflare作为C&C服务器，它还可以适当处理代理背后的通信。自2019年首次出现以来，SparklingGoblin与几个针对香港大学的攻击有关，使用Spyder和ShadowPad等后门，后者近年来已成为多个中国黑客集团的首选恶意软件。

在过去的一年里，这些集团袭击了世界各地的广泛组织和垂直行业，特别是位于巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构，其他目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商以及地方政府。

SideWalk被描述为一个加密的壳代码，它通过一个.NET加载器部署，该加载器负责从磁盘上读取加密的壳代码，对其进行解密，并使用进程空心化技术将其注入合法进程。感染的下一阶段是SideWalk与C&C服务器建立通信，恶意软件从Google Docs文档中检索加密的IP地址。

除了使用HTTPS协议进行C&C通信外，SideWalk还被设计为加载从服务器发送的任意插件，积累有关运行进程的信息，并将结果外泄回远程服务器。SideWalk是SparklingGoblin APT组织使用的一个以前没有记录的后门。它很可能是由CROSSWALK背后的相同开发者制作的，它与CROSSWALK共享许多设计结构和实施细节。