تم نشر إصدار Linux جديد من SideWalk backdoor ضد إحدى جامعات هونغ كونغ في هجوم مستمر أدى إلى اختراق مفاتيح خوادم متعددة لبيئة شبكة المؤسسة.
عزا باحثون من ESET الهجوم والباب الخلفي إلى SparklingGoblin ، وهي مجموعة تهديد مستمر متقدم (APT) تستهدف المنظمات في الغالب في شرق وجنوب شرق آسيا ، مع التركيز على القطاع الأكاديمي ، كما قالوا في بلوق وظيفة نشرت في 14 سبتمبر.
قال الباحثون إن APT تم ربطه أيضًا بهجمات على مجموعة واسعة من المنظمات والصناعات الرأسية في جميع أنحاء العالم ، وهو معروف باستخدام SideWalk و Crosswalk في ترسانته من البرامج الضارة.
في الواقع ، الهجوم على جامعة هونغ كونغ هو المرة الثانية التي تستهدف فيها SparklingGoblin هذه المؤسسة بالذات ؛ كان الأول في مايو 2020 أثناء الاحتجاجات الطلابية ، مع باحثي ESET اكتشاف متغير Linux لأول مرة من SideWalk في شبكة الجامعة في فبراير 2021 دون تحديدها فعليًا على هذا النحو ، كما قالوا.
يبدو أن الهجوم الأخير هو جزء من حملة مستمرة ربما بدأت في البداية باستغلال إما كاميرات IP و / أو مسجل فيديو الشبكة (NVR) وأجهزة DVR ، باستخدام Specter botnet أو من خلال خادم WordPress ضعيف موجود في الضحية. قال الباحثون البيئة.
قال الباحثون: "استهدفت SparklingGoblin هذه المنظمة باستمرار على مدى فترة طويلة من الزمن ، ونجحت في اختراق العديد من الخوادم الرئيسية ، بما في ذلك خادم الطباعة وخادم البريد الإلكتروني والخادم المستخدم لإدارة جداول الطلاب وتسجيلات الدورة التدريبية".
علاوة على ذلك ، يبدو الآن أن Specter RAT ، التي وثقها الباحثون لأول مرة في 360 Netlab ، هي في الواقع متغير SideWalk Linux ، كما يتضح من القواسم المشتركة المتعددة بين العينة التي حددها باحثو ESET.
روابط SideWalk إلى SparklingGoblin
رصيف هو باب خلفي معياري يمكنه تحميل وحدات إضافية بشكل ديناميكي من خادم القيادة والتحكم (C2) الخاص به ، ويستخدم محرر مستندات Google كمحلل مسدود ، ويستخدم Cloudflare كخادم C2. يمكنه أيضًا التعامل بشكل صحيح مع الاتصال خلف وكيل.
هناك آراء متباينة بين الباحثين حول مجموعة التهديد المسؤولة عن SideWalk backdoor. بينما يربط ESET البرامج الضارة بـ SparklingGoblin ، باحثين في Symantec قال ذلك عمل Grayfly (المعروف أيضًا باسم GREF و Wicked Panda) ، وهي مجموعة APT صينية نشطة منذ مارس 2017 على الأقل.
تعتقد ESET أن SideWalk حصري لـ SparklingGoblin ، مبنية على "ثقتها العالية" في هذا التقييم على "أوجه التشابه بين الأكواد المتعددة بين متغيرات Linux من SideWalk وأدوات SparklingGoblin المختلفة" ، كما قال الباحثون. وأضافوا أن إحدى نماذج SideWalk Linux تستخدم أيضًا عنوان C2 (66.42.103 [.] 222) الذي كان يستخدمه SparklingGoblin سابقًا.
بالإضافة إلى استخدام SideWalk و Crosswalk backdoors ، تشتهر SparklingGoblin أيضًا بنشر اللوادر المستندة إلى Motnug و ChaCha20 ، في PlugX RAT (المعروف أيضًا باسم Korplug) ، و Cobalt Strike في هجماتها.
بداية SideWalk Linux
وثق باحثو ESET لأول مرة متغير Linux من SideWalk في يوليو 2021 ، وأطلقوا عليه اسم "StageClient" لأنهم لم يجروا الاتصال في ذلك الوقت بـ SparklingGoblin و SideWalk backdoor لنظام التشغيل Windows.
قاموا في النهاية بربط البرامج الضارة بباب خلفي معياري لينكس مع تكوين مرن يتم استخدامه بواسطة الروبوتات Spectre التي تم ذكرها في بلوق وظيفة بواسطة باحثين في 360 Netlab ، وجدوا "تداخلًا كبيرًا في الوظائف والبنية التحتية والرموز الموجودة في جميع الثنائيات ،" قال باحثو ESET.
وأضافوا: "تقنعنا أوجه التشابه هذه بأن Specter و StageClient ينتميان إلى عائلة البرامج الضارة نفسها". في الواقع ، كلاهما مجرد Linux مختلف من SideWalk ، كما وجد الباحثون في النهاية. لهذا السبب ، يشار إلى كلاهما الآن تحت المصطلح الشامل SideWalk Linux.
في الواقع ، نظرًا للاستخدام المتكرر لنظام Linux كأساس للخدمات السحابية ومضيفي الأجهزة الافتراضية والبنية التحتية القائمة على الحاويات ، فإن المهاجمين يستهدفون Linux بشكل متزايد البيئات ذات الثغرات والبرامج الضارة المعقدة. أدى هذا إلى ظهور لينكس البرمجيات الخبيثة هذا فريد من نوعه لنظام التشغيل أو تم إنشاؤه كمكمل لإصدارات Windows ، مما يدل على أن المهاجمين يرون فرصة متزايدة لاستهداف البرامج مفتوحة المصدر.
مقارنة بإصدار Windows
من جانبه ، فإن SideWalk Linux له العديد من أوجه التشابه مع إصدار Windows من البرنامج الضار ، حيث حدد الباحثون فقط أكثر البرامج "المدهشة" في منشوراتهم ، كما قال الباحثون.
أحد التوازي الواضح هو تطبيقات تشفير ChaCha20 ، حيث يستخدم كلا المتغيرين عدادًا بقيمة أولية "0x0B" - وهي خاصية لاحظها باحثو ESET سابقًا. وأضافوا أن مفتاح ChaCha20 هو نفسه تمامًا في كلا المتغيرين ، مما يعزز الاتصال بين الاثنين.
يستخدم كلا الإصدارين من SideWalk أيضًا مؤشرات ترابط متعددة لتنفيذ مهام محددة. يحتوي كل منها على خمسة خيوط بالضبط - StageClient :: ThreadNetworkReverse و StageClient :: ThreadHeartDetect و StageClient :: ThreadPollingDriven و ThreadBizMsgSend و StageClient :: ThreadBizMsgHandler - يتم تنفيذها في وقت واحد بحيث يؤدي كل منها وظيفة معينة جوهرية للباب الخلفي ، وفقًا لـ ESET.
تشابه آخر بين الإصدارين هو أن حمولة محلل الإسقاط الكامل - أو المحتوى العدائي المنشور على خدمات الويب ذات المجالات المضمنة أو عناوين IP - متطابقة في كلا النموذجين. قال الباحثون إن المحددات - الأحرف المختارة لفصل عنصر واحد في سلسلة عن عنصر آخر - لكلا الإصدارين متطابقة أيضًا ، بالإضافة إلى خوارزميات فك التشفير الخاصة بهما.
وجد الباحثون أيضًا اختلافات رئيسية بين SideWalk Linux ونظيره في Windows. أحدهما هو أنه في متغيرات SideWalk Linux ، يتم تضمين الوحدات النمطية ولا يمكن جلبها من خادم C2. من ناحية أخرى ، يحتوي إصدار Windows على وظائف مضمنة يتم تنفيذها مباشرة من خلال وظائف مخصصة داخل البرامج الضارة. قال الباحثون إن بعض المكونات الإضافية يمكن إضافتها أيضًا من خلال اتصالات C2 في إصدار Windows من SideWalk.
وجد الباحثون أن كل نسخة تؤدي أيضًا المراوغة الدفاعية بطريقة مختلفة. متغير Windows لـ SideWalk "يذهب إلى أبعد الحدود لإخفاء أهداف الكود الخاص به" عن طريق إزالة جميع البيانات والرموز التي لم تكن ضرورية لتنفيذه ، وتشفير الباقي.
قال باحثون إن متغيرات Linux تجعل اكتشاف الباب الخلفي وتحليله "أسهل بشكل كبير" من خلال احتواء الرموز وترك بعض مفاتيح المصادقة الفريدة وغيرها من القطع الأثرية غير المشفرة.
وأضافوا: "بالإضافة إلى ذلك ، يشير العدد الأكبر بكثير من الوظائف المضمنة في متغير Windows إلى أن الكود الخاص به قد تم تجميعه بمستوى أعلى من تحسينات المترجم".
