Компания ESET заявила про обнаружение неизвестного ранее бэкдора SideWalk. Вредоносная программа использовалась группой киберпреступников SparklingGoblin во время атак на компанию по розничной торговле компьютерами.

Бэкдор может собирать информацию об устройстве жертвы и динамически загружать дополнительные модули, отправленные из командного сервера (C&C). Обнаруженная вредоносная программа очень похожа по структуре и реализации на другой бэкдор этой группы ―  CROSSWALK.

Несмотря на то, что коды SideWalk и CROSSWALK отличаются, угрозы имеют много общих архитектурных особенностей, в частности похожие техники защиты от анализа, макеты данных, а также способы обработки этих данных во время выполнения. Кроме этого, оба бэкдора имеют модульную структуру и используют прокси-сервер для соединения с C&C.

Стоит отметить, что группа киберпреступников SparklingGoblin активна с середины 2020 года. Ее целями становятся организации во всем мире, а основной фокус злоумышленников направлен на образовательную отрасль и регион Восточной Азии.