En ny Linux-version af SideWalk-bagdøren er blevet implementeret mod et Hong Kong-universitet i et vedvarende angreb, der har kompromitteret flere servere, der er nøglen til institutionens netværksmiljø.
Forskere fra ESET tilskrev angrebet og bagdøren til SparklingGoblin, en avanceret persistent trussel-gruppe (APT), der hovedsageligt er rettet mod organisationer i Øst- og Sydøstasien, med fokus på den akademiske sektor, sagde de i en blogindlæg udgivet 14. sept.
APT er også blevet forbundet med angreb på en bred vifte af organisationer og vertikale industrier rundt om i verden og er kendt for at bruge SideWalk og Crosswalk bagdørene i sit arsenal af malware, sagde forskere.
Faktisk er angrebet på Hong Kong-universitetet anden gang, SparklingGoblin har angrebet netop denne institution; den første var i maj 2020 under studenterprotester med ESET-forskere først opdager Linux-varianten af SideWalk i universitetets netværk i februar 2021 uden faktisk at identificere det som sådan, sagde de.
Det seneste angreb ser ud til at være en del af en kontinuerlig kampagne, der oprindeligt kan være startet med udnyttelse af enten IP-kameraer og/eller netværksvideooptagere (NVR) og DVR-enheder, ved brug af Spectre-botnettet eller gennem en sårbar WordPress-server fundet i offerets miljø, sagde forskere.
"SparklingGoblin har kontinuerligt målrettet denne organisation over en lang periode og med succes kompromitteret flere nøgleservere, herunder en printserver, en e-mail-server og en server, der bruges til at administrere studerendes skemaer og kursusregistreringer," sagde forskere.
Desuden ser det nu ud til, at Spectre RAT, først dokumenteret af forskere på 360 Netlab, faktisk er en SideWalk Linux-variant, som vist af flere fællestræk mellem prøven identificeret af ESET-forskere, sagde de.
SideWalk links til SparklingGoblin
Fortov er en modulær bagdør, der dynamisk kan indlæse yderligere moduler sendt fra dens kommando-og-kontrol-server (C2), gør brug af Google Docs som en dead-drop-resolver og bruger Cloudflare som en C2-server. Det kan også korrekt håndtere kommunikation bag en proxy.
Der er forskellige meninger blandt forskere om, hvilken trusselsgruppe der er ansvarlig for SideWalk-bagdøren. Mens ESET linker malwaren til SparklingGoblin, forskere hos Symantec sagde det er værket af Grayfly (alias GREF og Wicked Panda), en kinesisk APT, der har været aktiv siden mindst marts 2017.
ESET mener, at SideWalk er eksklusivt for SparklingGoblin og baserer sin "høje tillid" til denne vurdering på "flere kodeligheder mellem Linux-varianterne af SideWalk og forskellige SparklingGoblin-værktøjer," sagde forskere. En af SideWalk Linux-eksemplerne bruger også en C2-adresse (66.42.103[.]222), som tidligere blev brugt af SparklingGoblin, tilføjede de.
Udover at bruge SideWalk- og Crosswalk-bagdørene, er SparklingGoblin også kendt for at implementere Motnug- og ChaCha20-baserede læssere, PlugX RAT (aka Korplug), og Cobalt Strike i sine angreb.
Starten af SideWalk Linux
ESET-forskere dokumenterede først Linux-varianten af SideWalk i juli 2021, og kaldte den "StageClient", fordi de ikke på det tidspunkt oprettede forbindelsen til SparklingGoblin og SideWalk-bagdøren til Windows.
De knyttede til sidst malwaren til en modulær Linux-bagdør med fleksibel konfiguration, der blev brugt af Spectre-botnettet, der blev nævnt i en blogindlæg af forskere ved 360 Netlab, der fandt "et enormt overlap i funktionalitet, infrastruktur og symboler, der findes i alle binære filer," sagde ESET-forskerne.
"Disse ligheder overbeviser os om, at Spectre og StageClient er fra den samme malware-familie," tilføjede de. Faktisk er begge bare Linux forskellige af SideWalk, fandt forskere til sidst. Af denne grund omtales begge nu under paraplybegrebet SideWalk Linux.
Faktisk, i betragtning af den hyppige brug af Linux som grundlag for cloud-tjenester, virtuelle maskine-værter og container-baseret infrastruktur, angribere retter sig i stigende grad mod Linux miljøer med sofistikerede udnyttelser og malware. Dette har givet anledning til Linux malware det er både unikt for operativsystemet eller bygget som et supplement til Windows-versioner, hvilket viser, at angribere ser en voksende mulighed for at målrette mod open source-softwaren.
Sammenligning med Windows-version
For sin del har SideWalk Linux adskillige ligheder med Windows-versionen af malwaren, hvor forskere kun beskriver de mest "slående" i deres indlæg, sagde forskere.
En indlysende parallel er implementeringerne af ChaCha20-kryptering, hvor begge varianter bruger en tæller med en startværdi på "0x0B" - en karakteristik, som tidligere er bemærket af ESET-forskere. ChaCha20-nøglen er nøjagtig den samme i begge varianter, hvilket styrker forbindelsen mellem de to, tilføjede de.
Begge versioner af SideWalk bruger også flere tråde til at udføre specifikke opgaver. De har hver især præcis fem tråde - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend og StageClient::ThreadBizMsgHandler - udført samtidigt, som hver udfører en specifik funktion, der er iboende til ESET, i henhold til bagdøren.
En anden lighed mellem de to versioner er, at dead-drop-resolverens nyttelast - eller kontradiktorisk indhold udsendt på webtjenester med indlejrede domæner eller IP-adresser - er identisk i begge eksempler. Afgrænsningerne - tegn valgt til at adskille et element i en streng fra et andet element - i begge versioner er også identiske, såvel som deres afkodningsalgoritmer, sagde forskere.
Forskere fandt også vigtige forskelle mellem SideWalk Linux og dets Windows-modstykke. Den ene er, at i SideWalk Linux-varianter er moduler indbygget og kan ikke hentes fra C2-serveren. Windows-versionen har på den anden side indbyggede funktioner, der udføres direkte af dedikerede funktioner i malwaren. Nogle plug-ins kan også tilføjes via C2-kommunikation i Windows-versionen af SideWalk, sagde forskere.
Hver version udfører også forsvarsunddragelse på en anden måde, fandt forskere. Windows-varianten af SideWalk "går langt for at skjule formålene med sin kode" ved at trimme alle data og kode, der var unødvendige for dens udførelse, og kryptere resten.
Linux-varianterne gør detektion og analyse af bagdøren "betydeligt lettere" ved at indeholde symboler og efterlade nogle unikke autentificeringsnøgler og andre artefakter ukrypteret, sagde forskere.
"Derudover tyder det meget højere antal indlejrede funktioner i Windows-varianten på, at dens kode blev kompileret med et højere niveau af compiler-optimeringer," tilføjede de.
