Eine neue Linux-Version der SideWalk-Hintertür wurde gegen eine Universität in Hongkong in einem anhaltenden Angriff eingesetzt, bei dem mehrere Server kompromittiert wurden, die für die Netzwerkumgebung der Institution entscheidend sind.
Forscher von ESET schrieben den Angriff und die Hintertür SparklingGoblin zu, einer Advanced Persistent Threat (APT)-Gruppe, die hauptsächlich Organisationen in Ost- und Südostasien angreift, mit einem Fokus auf den akademischen Sektor, sagten sie in a Blog-Post veröffentlicht am 14. September.
Der APT wurde auch mit Angriffen auf ein breites Spektrum von Organisationen und vertikalen Branchen auf der ganzen Welt in Verbindung gebracht und ist dafür bekannt, die SideWalk- und Crosswalk-Hintertüren in seinem Arsenal an Malware zu verwenden, sagten Forscher.
Tatsächlich ist der Angriff auf die Universität von Hongkong das zweite Mal, dass SparklingGoblin auf diese spezielle Institution abzielt; Die erste fand im Mai 2020 während Studentenprotesten mit ESET-Forschern statt erste Erkennung der Linux-Variante von SideWalk im Februar 2021 in das Netz der Universität aufgenommen, ohne es tatsächlich als solches zu kennzeichnen, hieß es.
Der jüngste Angriff scheint Teil einer kontinuierlichen Kampagne zu sein, die zunächst mit der Ausnutzung entweder von IP-Kameras und/oder Netzwerk-Videorecordern (NVR) und DVR-Geräten unter Verwendung des Spectre-Botnets oder über einen anfälligen WordPress-Server begonnen haben könnte, der beim Opfer gefunden wurde Umwelt, sagten Forscher.
„SparklingGoblin hat diese Organisation über einen langen Zeitraum kontinuierlich ins Visier genommen und erfolgreich mehrere Schlüsselserver kompromittiert, darunter einen Druckserver, einen E-Mail-Server und einen Server, der zur Verwaltung von Studentenplänen und Kursanmeldungen verwendet wird“, sagten die Forscher.
Darüber hinaus scheint es jetzt, dass die Spectre RAT, die erstmals von Forschern bei 360 Netlab dokumentiert wurde, tatsächlich eine SideWalk-Linux-Variante ist, wie mehrere Gemeinsamkeiten zwischen der von ESET-Forschern identifizierten Probe zeigen, sagten sie.
SideWalk-Links zu SparklingGoblin
Bürgersteig ist eine modulare Hintertür, die zusätzliche Module dynamisch laden kann, die von ihrem Command-and-Control-Server (C2) gesendet werden, Google Docs als Dead-Drop-Resolver verwendet und Cloudflare als C2-Server verwendet. Es kann auch die Kommunikation hinter einem Proxy richtig handhaben.
Unter Forschern gibt es unterschiedliche Meinungen darüber, welche Bedrohungsgruppe für die SideWalk-Hintertür verantwortlich ist. Während ESET die Malware mit SparklingGoblin verknüpft, Forscher bei Symantec sagte es ist die Arbeit von Grayfly (alias GREF und Wicked Panda), ein chinesisches APT, das mindestens seit März 2017 aktiv ist.
ESET glaubt, dass SideWalk exklusiv für SparklingGoblin ist, und stützt sein „hohes Vertrauen“ in diese Einschätzung auf „mehrere Code-Ähnlichkeiten zwischen den Linux-Varianten von SideWalk und verschiedenen SparklingGoblin-Tools“, sagten Forscher. Eines der SideWalk-Linux-Beispiele verwendet auch eine C2-Adresse (66.42.103[.]222), die zuvor von SparklingGoblin verwendet wurde, fügten sie hinzu.
Neben der Verwendung der SideWalk- und Crosswalk-Hintertüren ist SparklingGoblin auch dafür bekannt, Motnug- und ChaCha20-basierte Ladeprogramme einzusetzen. die PlugX RAT (alias Korplug) und Cobalt Strike in seinen Angriffen.
Einführung von SideWalk Linux
ESET-Forscher dokumentierten die Linux-Variante von SideWalk erstmals im Juli 2021 und nannten sie „StageClient“, da sie damals keine Verbindung zu SparklingGoblin und der SideWalk-Hintertür für Windows herstellten.
Sie verknüpften die Malware schließlich mit einer modularen Linux-Hintertür mit flexibler Konfiguration, die von dem in einem erwähnten Spectre-Botnetz verwendet wird Blog-Post von Forschern bei 360 Netlab und fanden „eine große Überschneidung in der Funktionalität, Infrastruktur und den Symbolen in allen Binärdateien“, sagten die ESET-Forscher.
„Diese Ähnlichkeiten überzeugen uns davon, dass Spectre und StageClient aus derselben Malware-Familie stammen“, fügten sie hinzu. Tatsächlich sind beide nur Linux-Varianten von SideWalk, fanden Forscher schließlich heraus. Aus diesem Grund werden beide heute unter dem Oberbegriff SideWalk Linux bezeichnet.
Angesichts der häufigen Verwendung von Linux als Basis für Cloud-Dienste, Hosts für virtuelle Maschinen und Container-basierte Infrastrukturen sind Angreifer in der Tat Angreifer zielen zunehmend auf Linux ab Umgebungen mit ausgeklügelten Exploits und Malware. Daraus hat sich ergeben Linux-Malware das ist sowohl für das Betriebssystem einzigartig als auch als Ergänzung zu Windows-Versionen konzipiert, was zeigt, dass Angreifer eine wachsende Gelegenheit sehen, die Open-Source-Software anzugreifen.
Vergleich zur Windows-Version
SideWalk Linux hat seinerseits zahlreiche Ähnlichkeiten mit der Windows-Version der Malware, wobei die Forscher in ihrem Beitrag nur die „auffälligsten“ skizzieren, sagten die Forscher.
Eine offensichtliche Parallele sind die Implementierungen der ChaCha20-Verschlüsselung, wobei beide Varianten einen Zähler mit einem Anfangswert von „0x0B“ verwenden – eine Eigenschaft, die zuvor von ESET-Forschern festgestellt wurde. Der ChaCha20-Schlüssel ist in beiden Varianten genau gleich, was die Verbindung zwischen den beiden stärkt, fügten sie hinzu.
Beide Versionen von SideWalk verwenden auch mehrere Threads, um bestimmte Aufgaben auszuführen. Sie haben jeweils genau fünf Threads – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend und StageClient::ThreadBizMsgHandler – die gleichzeitig ausgeführt werden und die laut ESET jeweils eine bestimmte Funktion der Hintertür ausführen.
Eine weitere Ähnlichkeit zwischen den beiden Versionen besteht darin, dass die Dead-Drop-Resolver-Payload – oder gegnerische Inhalte, die auf Webdiensten mit eingebetteten Domains oder IP-Adressen gepostet werden – in beiden Beispielen identisch ist. Die Trennzeichen – Zeichen, die gewählt werden, um ein Element in einer Zeichenfolge von einem anderen Element zu trennen – beider Versionen sind ebenfalls identisch, ebenso wie ihre Decodierungsalgorithmen, sagten die Forscher.
Die Forscher fanden auch wichtige Unterschiede zwischen SideWalk Linux und seinem Windows-Gegenstück. Einer ist, dass in SideWalk-Linux-Varianten Module eingebaut sind und nicht vom C2-Server abgerufen werden können. Die Windows-Version hingegen verfügt über integrierte Funktionen, die direkt von dedizierten Funktionen innerhalb der Malware ausgeführt werden. Einige Plug-Ins können auch über C2-Kommunikation in der Windows-Version von SideWalk hinzugefügt werden, sagten Forscher.
Forscher fanden heraus, dass jede Version die Verteidigungsumgehung auf unterschiedliche Weise durchführt. Die Windows-Variante von SideWalk „unternimmt große Anstrengungen, um die Ziele ihres Codes zu verschleiern“, indem sie alle Daten und Codes, die für ihre Ausführung unnötig waren, herausschneidet und den Rest verschlüsselt.
Die Linux-Varianten machen die Erkennung und Analyse der Hintertür „erheblich einfacher“, indem sie Symbole enthalten und einige eindeutige Authentifizierungsschlüssel und andere Artefakte unverschlüsselt lassen, sagten Forscher.
„Außerdem deutet die viel höhere Anzahl von Inline-Funktionen in der Windows-Variante darauf hin, dass ihr Code mit einem höheren Maß an Compiler-Optimierungen kompiliert wurde“, fügten sie hinzu.
