新的人行道后门瞄准了美国的电脑零售业务

一家总部位于美国的电脑零售公司是一种之前未被发现的植入物的目标，该植入物名为人行道作为中国一个先进的持续性威胁组织最近发起的行动的一部分，该组织主要以挑出东亚和东南亚的实体而闻名。

Slovak cybersecurity firm ESET attributed the malware to an advanced persistent threat it tracks under the moniker SparklingGoblin, an adversary believed to be connected to the Winnti umbrella group, noting its similarities to another backdoor dubbed Crosswalk that was put to use by the same threat actor in 2019.

ESET研究人员Thibaut Passilly和Mathieu Tartare在周二发布的一份报告中说：“人行道是一个模块化的后门，可以动态加载从其C&C（命令和控制）服务器发送的其他模块，使用Google Docs作为死区解析程序，使用Cloudflare workers作为C&C服务器。”。“它还可以正确处理代理背后的通信。”

自2019年初首次出现在“威胁景观”上，斯巴林灵布林一直与香港大学的一些攻击有关，这些攻击使用了SpIDE和SimoPad等后门，后者在近年来成为多个中国威胁集群中首选的恶意软件。

在过去的一年里，该组织在全球范围内打击了广泛的组织和垂直领域，特别关注巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构。其他目标实体包括媒体公司、宗教组织、电子商务平台、，计算机和电子产品制造商，以及地方政府。

人行道以加密外壳代码为特征，通过。NET加载程序，负责“从磁盘读取加密的外壳代码，解密并使用进程空洞技术将其注入合法进程。”感染的下一阶段始于与C&；C服务器，恶意软件从Google Docs文档中检索加密的IP地址。

“解密后的IP地址是80.85.155[。]80.C&；C服务器对facebookint[.]使用自签名证书com域。微软将该领域归为钡，这与我们定义的Winnti Group部分重叠。由于该IP地址不是恶意软件使用的第一个IP地址，因此被认为是备用地址，”研究人员说。

除了在C&；C通信，人行道设计用于加载从服务器发送的任意插件，收集有关运行进程的信息，并将结果过滤回远程服务器。

研究人员总结道：“人行道是SparklingGoblin APT集团使用的一个以前未经记录的后门。它很可能是由人行横道背后的开发人员制作的，与人行横道共享许多设计结构和实施细节。”。