Το SparklingGoblin ενημερώνει την έκδοση Linux του SideWalk Backdoor σε μια τρέχουσα καμπάνια στον κυβερνοχώρο

Μια νέα έκδοση Linux του κερκόπορτου SideWalk έχει αναπτυχθεί σε ένα πανεπιστήμιο του Χονγκ Κονγκ σε μια επίμονη επίθεση που έχει θέσει σε κίνδυνο το κλειδί πολλαπλών διακομιστών στο περιβάλλον δικτύου του ιδρύματος.

Ερευνητές από την ESET απέδωσαν την επίθεση και την κερκόπορτα στο SparklingGoblin, μια ομάδα προηγμένης επίμονης απειλής (APT) που στοχεύει οργανισμούς κυρίως στην Ανατολική και Νοτιοανατολική Ασία, με έμφαση στον ακαδημαϊκό τομέα, είπαν σε μια ανάρτηση δημοσιεύθηκε 14 Σεπτεμβρίου.

Το APT έχει επίσης συνδεθεί με επιθέσεις σε ένα ευρύ φάσμα οργανισμών και κάθετων βιομηχανιών σε όλο τον κόσμο και είναι γνωστό για τη χρήση των κερκόπορτων SideWalk και Crosswalk στο οπλοστάσιο κακόβουλου λογισμικού του, ανέφεραν οι ερευνητές.

Στην πραγματικότητα, η επίθεση στο πανεπιστήμιο του Χονγκ Κονγκ είναι η δεύτερη φορά που το SparklingGoblin στοχεύει το συγκεκριμένο ίδρυμα. Η πρώτη ήταν τον Μάιο του 2020 κατά τη διάρκεια φοιτητικών διαδηλώσεων, με ερευνητές της ESET ανιχνεύοντας πρώτα την παραλλαγή Linux του SideWalk στο δίκτυο του πανεπιστημίου τον Φεβρουάριο του 2021 χωρίς στην πραγματικότητα να το προσδιορίσουν ως τέτοιο, είπαν.

Η τελευταία επίθεση φαίνεται να είναι μέρος μιας συνεχούς καμπάνιας που αρχικά μπορεί να ξεκίνησε με την εκμετάλλευση είτε καμερών IP ή/και δικτυακών συσκευών εγγραφής βίντεο (NVR) και DVR, χρησιμοποιώντας το botnet Spectre ή μέσω ενός ευάλωτου διακομιστή WordPress που βρίσκεται στο θύμα περιβάλλον, είπαν οι ερευνητές.

«Το SparklingGoblin στοχεύει συνεχώς αυτόν τον οργανισμό για μεγάλο χρονικό διάστημα, διακυβεύοντας επιτυχώς πολλούς διακομιστές-κλειδιά, συμπεριλαμβανομένου ενός διακομιστή εκτύπωσης, ενός διακομιστή email και ενός διακομιστή που χρησιμοποιείται για τη διαχείριση προγραμμάτων σπουδαστών και εγγραφών μαθημάτων», ανέφεραν οι ερευνητές.

Επιπλέον, φαίνεται τώρα ότι το Spectre RAT, που τεκμηριώθηκε για πρώτη φορά από ερευνητές στο 360 Netlab, είναι στην πραγματικότητα μια παραλλαγή SideWalk Linux, όπως φαίνεται από πολλαπλά κοινά σημεία μεταξύ του δείγματος που προσδιορίστηκε από τους ερευνητές της ESET, είπαν.

SideWalk Σύνδεσμοι στο SparklingGoblin

Πεζοδρόμιο είναι μια αρθρωτή κερκόπορτα που μπορεί να φορτώσει δυναμικά πρόσθετες μονάδες που αποστέλλονται από τον διακομιστή εντολών και ελέγχου (C2), χρησιμοποιεί τα Έγγραφα Google ως εργαλείο επίλυσης νεκρών σταγόνων και χρησιμοποιεί το Cloudflare ως διακομιστή C2. Μπορεί επίσης να χειριστεί σωστά την επικοινωνία πίσω από έναν διακομιστή μεσολάβησης.

Υπάρχουν διαφορετικές απόψεις μεταξύ των ερευνητών σχετικά με το ποια ομάδα απειλών είναι υπεύθυνη για την κερκόπορτα του SideWalk. Ενώ η ESET συνδέει το κακόβουλο λογισμικό με το SparklingGoblin, ερευνητές της Symantec είπε ότι είναι το έργο του Grayfly (γνωστός και ως GREF και Wicked Panda), ένα κινεζικό APT ενεργό τουλάχιστον από τον Μάρτιο του 2017.

Η ESET πιστεύει ότι το SideWalk είναι αποκλειστικό για το SparklingGoblin, βασίζοντας την «υψηλή εμπιστοσύνη» της σε αυτήν την αξιολόγηση σε «πολλαπλές ομοιότητες κώδικα μεταξύ των παραλλαγών Linux του SideWalk και διαφόρων εργαλείων SparklingGoblin», ανέφεραν οι ερευνητές. Ένα από τα δείγματα SideWalk Linux χρησιμοποιεί επίσης μια διεύθυνση C2 (66.42.103[.]222) που χρησιμοποιήθηκε στο παρελθόν από το SparklingGoblin, πρόσθεσαν.

Εκτός από τη χρήση των κερκόπορτων SideWalk και Crosswalk, το SparklingGoblin είναι επίσης γνωστό για την ανάπτυξη φορτωτών που βασίζονται σε Motnug και ChaCha20, το PlugX RAT (γνωστός και ως Korplug), και το Cobalt Strike στις επιθέσεις του.

Έναρξη του SideWalk Linux

Οι ερευνητές της ESET τεκμηρίωσαν για πρώτη φορά την παραλλαγή Linux του SideWalk τον Ιούλιο του 2021, βαφτίζοντάς την "StageClient" επειδή εκείνη τη στιγμή δεν έκαναν τη σύνδεση με το SparklingGoblin και το SideWalk backdoor για Windows.

Τελικά συνέδεσαν το κακόβουλο λογισμικό με μια αρθρωτή κερκόπορτα Linux με ευέλικτη διαμόρφωση που χρησιμοποιείται από το botnet Spectre που αναφέρθηκε σε ανάρτηση από ερευνητές στο 360 Netlab, διαπιστώνοντας «μια τεράστια επικάλυψη στη λειτουργικότητα, την υποδομή και τα σύμβολα που υπάρχουν σε όλα τα δυαδικά αρχεία», είπαν οι ερευνητές της ESET.

«Αυτές οι ομοιότητες μας πείθουν ότι το Spectre και το StageClient προέρχονται από την ίδια οικογένεια κακόβουλου λογισμικού», πρόσθεσαν. Στην πραγματικότητα, και τα δύο είναι απλά Linux διάφορα του SideWalk, βρήκαν τελικά οι ερευνητές. Για το λόγο αυτό, και τα δύο αναφέρονται πλέον με τον γενικό όρο SideWalk Linux.

Πράγματι, δεδομένης της συχνής χρήσης του Linux ως βάσης για υπηρεσίες cloud, κεντρικούς υπολογιστές εικονικών μηχανών και υποδομές που βασίζονται σε κοντέινερ, οι εισβολείς στοχεύουν όλο και περισσότερο το Linux περιβάλλοντα με εξελιγμένα exploits και κακόβουλο λογισμικό. Αυτό οδήγησε σε Κακόβουλο λογισμικό Linux που είναι μοναδικό για το λειτουργικό σύστημα ή έχει κατασκευαστεί ως συμπλήρωμα των εκδόσεων των Windows, αποδεικνύοντας ότι οι εισβολείς βλέπουν μια αυξανόμενη ευκαιρία να στοχεύσουν το λογισμικό ανοιχτού κώδικα.

Σύγκριση με την έκδοση των Windows

Από την πλευρά του, το SideWalk Linux έχει πολλές ομοιότητες με την έκδοση του κακόβουλου λογισμικού για Windows, με τους ερευνητές να περιγράφουν μόνο τις πιο «εντυπωσιακές» στην ανάρτησή τους, είπαν οι ερευνητές.

Ένας προφανής παράλληλος είναι οι υλοποιήσεις της κρυπτογράφησης ChaCha20, με τις δύο παραλλαγές να χρησιμοποιούν έναν μετρητή με αρχική τιμή "0x0B" - ένα χαρακτηριστικό που σημειώθηκε προηγουμένως από ερευνητές της ESET. Το κλειδί ChaCha20 είναι ακριβώς το ίδιο και στις δύο παραλλαγές, ενισχύοντας τη σύνδεση μεταξύ των δύο, πρόσθεσαν.

Και οι δύο εκδόσεις του SideWalk χρησιμοποιούν επίσης πολλαπλά νήματα για την εκτέλεση συγκεκριμένων εργασιών. Το καθένα έχει ακριβώς πέντε νήματα — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend και StageClient::ThreadBizMsgHandler::ThreadBizMsgHandler, εκτελεί κάθε μία από τις λειτουργίες που εκτελούνται με ακρίβεια, εκτελούνται ανάλογα με την ET κάθε λειτουργία.

Μια άλλη ομοιότητα μεταξύ των δύο εκδόσεων είναι ότι το ωφέλιμο φόρτο του προγράμματος επίλυσης νεκρών σταγόνων — ή το αντίθετο περιεχόμενο που δημοσιεύεται σε υπηρεσίες Ιστού με ενσωματωμένους τομείς ή διευθύνσεις IP — είναι πανομοιότυπο και στα δύο δείγματα. Οι οριοθέτες - χαρακτήρες που επιλέχθηκαν για να διαχωρίσουν ένα στοιχείο σε μια συμβολοσειρά από ένα άλλο στοιχείο - και των δύο εκδόσεων είναι επίσης πανομοιότυποι, καθώς και οι αλγόριθμοι αποκωδικοποίησής τους, είπαν οι ερευνητές.

Οι ερευνητές βρήκαν επίσης βασικές διαφορές μεταξύ του SideWalk Linux και του αντίστοιχου Windows. Το ένα είναι ότι στις παραλλαγές του SideWalk Linux, οι μονάδες είναι ενσωματωμένες και δεν μπορούν να ληφθούν από τον διακομιστή C2. Η έκδοση των Windows, από την άλλη πλευρά, έχει ενσωματωμένες λειτουργίες που εκτελούνται απευθείας από αποκλειστικές λειτουργίες εντός του κακόβουλου λογισμικού. Ορισμένα πρόσθετα μπορούν επίσης να προστεθούν μέσω επικοινωνιών C2 στην έκδοση Windows του SideWalk, είπαν οι ερευνητές.

Κάθε έκδοση εκτελεί την αμυντική αποφυγή με διαφορετικό τρόπο επίσης, ανακάλυψαν οι ερευνητές. Η παραλλαγή του SideWalk των Windows «καταβάλλει κάθε δυνατή προσπάθεια για να αποκρύψει τους στόχους του κώδικά του» περικόπτοντας όλα τα δεδομένα και τον κώδικα που δεν ήταν απαραίτητοι για την εκτέλεσή του, κρυπτογραφώντας τα υπόλοιπα.

Οι παραλλαγές Linux κάνουν την ανίχνευση και την ανάλυση της κερκόπορτας «σημαντικά ευκολότερη» περιέχοντας σύμβολα και αφήνοντας μερικά μοναδικά κλειδιά ελέγχου ταυτότητας και άλλα τεχνουργήματα μη κρυπτογραφημένα, είπαν οι ερευνητές.

«Επιπλέον, ο πολύ μεγαλύτερος αριθμός ενσωματωμένων συναρτήσεων στην παραλλαγή των Windows υποδηλώνει ότι ο κώδικάς του μεταγλωττίστηκε με υψηλότερο επίπεδο βελτιστοποιήσεων μεταγλωττιστή», πρόσθεσαν.