SparklingGoblin 对香港大学的网络攻击

关键要点

• 攻击背景 ：中国资助的网络攻击组织 SparklingGoblin 在 2021 年 2 月对香港大学使用了 Linux 版本的 SideWalk 后门程序。
• 目标对象 ：SparklingGoblin 主要针对东亚和东南亚的实体，尤其是学术界。
• 关联团体 ：该组织与被称为 APT41 的 Winnti 组织相关联，自 2019 年以来持续活动。
• 技术分析 ：研究人员发现新版本的 SideWalk 还涉及 Specter RAT，后者是其早期版本，并且是在特定网络环境中被使用。

根据
的报道，中国资助的高级持续性威胁组织 SparklingGoblin 在 2021 年 2 月对香港大学的攻击中，使用了 Linux 版本的
SideWalk 后门程序。自 2020 年以来，受影响的大学一直是新版本 SideWalk 的目标，SparklingGoblin也已针对多个东亚及东南亚的实体，尤其集中在学术领域。

根据 ESET 的报告，SparklingGoblin 自 2019 年以来与
有关联，也被称为 APT41、Earth Baku、Wicked Panda 和 Barium。研究人员在分析 SideWalk Linux 时，还发现了
Specter RAT，这是 SideWalk 的早期版本。尽管 Specter RAT 利用了一个老旧的 SparklingGoblin指挥与控制地址，并使用了与其他工具相同的 ChaCha20 算法进行配置解密，但其使用了 C++ 编写，而不是
C，并包含用于计划任务执行和系统数据收集的模块。

ESET 研究人员 Mathieu Tartare 表示：“由于我们在遥测中仅看到 Linux 变体一次（在 2021 年 2 月部署于香港大学），可以认为
Linux 变体的流行程度较低，但我们对 Linux 系统的可见性较差，这可能解释了这一现象。另一方面，Specter Linux 变体被用来攻击 IP摄像头以及 NVR 和 DVR 设备（在这些设备上我们没有可见性），并通过利用这些设备上的漏洞进行大规模传播。”

相关链接： – –