Se implementó una nueva versión de Linux de la puerta trasera SideWalk contra una universidad de Hong Kong en un ataque persistente que comprometió varios servidores clave para el entorno de red de la institución.
Los investigadores de ESET atribuyeron el ataque y la puerta trasera a SparklingGoblin, un grupo de amenazas persistentes avanzadas (APT) que apunta a organizaciones principalmente en el este y sureste de Asia, con un enfoque en el sector académico, dijeron en un comunicado. del blog publicado el 14 de septiembre.
El APT también se ha relacionado con ataques a una amplia gama de organizaciones e industrias verticales en todo el mundo, y es conocido por usar las puertas traseras SideWalk y Crosswalk en su arsenal de malware, dijeron los investigadores.
De hecho, el ataque a la universidad de Hong Kong es la segunda vez que SparklingGoblin se dirige a esta institución en particular; el primero fue en mayo de 2020 durante protestas estudiantiles, con investigadores de ESET primero detectando la variante de Linux de SideWalk en la red de la universidad en febrero de 2021 sin identificarlo realmente como tal, dijeron.
El último ataque parece ser parte de una campaña continua que inicialmente puede haber comenzado con la explotación de cámaras IP y/o grabadoras de video en red (NVR) y dispositivos DVR, usando la red de bots Spectre o a través de un servidor WordPress vulnerable que se encuentra en el sitio de la víctima. ambiente, dijeron los investigadores.
“SparklingGoblin se ha centrado continuamente en esta organización durante un largo período de tiempo, comprometiendo con éxito múltiples servidores clave, incluido un servidor de impresión, un servidor de correo electrónico y un servidor utilizado para administrar los horarios de los estudiantes y las inscripciones en los cursos”, dijeron los investigadores.
Además, ahora parece que Spectre RAT, documentado por primera vez por investigadores de 360 Netlab, es en realidad una variante de SideWalk Linux, como lo demuestran los múltiples puntos en común entre la muestra identificada por los investigadores de ESET, dijeron.
SideWalk enlaza con SparklingGoblin
Acera es una puerta trasera modular que puede cargar dinámicamente módulos adicionales enviados desde su servidor de comando y control (C2), utiliza Google Docs como un solucionador de puntos muertos y usa Cloudflare como un servidor C2. También puede manejar adecuadamente la comunicación detrás de un proxy.
Hay diferentes opiniones entre los investigadores sobre qué grupo de amenazas es responsable de la puerta trasera SideWalk. Si bien ESET vincula el malware con SparklingGoblin, investigadores de Symantec dijo que es el trabajo de mosca gris (también conocido como GREF y Wicked Panda), un APT chino activo desde al menos marzo de 2017.
ESET cree que SideWalk es exclusivo de SparklingGoblin, basando su "alta confianza" en esta evaluación en "múltiples similitudes de código entre las variantes de Linux de SideWalk y varias herramientas de SparklingGoblin", dijeron los investigadores. Una de las muestras de SideWalk Linux también usa una dirección C2 (66.42.103[.]222) que SparklingGoblin usó anteriormente, agregaron.
Además de usar las puertas traseras SideWalk y Crosswalk, SparklingGoblin también es conocido por implementar cargadores basados en Motnug y ChaCha20, la rata PlugX (también conocido como Korplug), y Cobalt Strike en sus ataques.
Inicio de SideWalk Linux
Los investigadores de ESET documentaron por primera vez la variante de Linux de SideWalk en julio de 2021, y la llamaron "StageClient" porque en ese momento no hicieron la conexión con SparklingGoblin y la puerta trasera de SideWalk para Windows.
Eventualmente, vincularon el malware a una puerta trasera modular de Linux con una configuración flexible utilizada por la red de bots Spectre que se mencionó en un del blog por investigadores de 360 Netlab, encontrando "una gran superposición en la funcionalidad, la infraestructura y los símbolos presentes en todos los binarios", dijeron los investigadores de ESET.
“Estas similitudes nos convencen de que Spectre y StageClient pertenecen a la misma familia de malware”, agregaron. De hecho, ambos son solo versiones Linux de SideWalk, según descubrieron los investigadores. Por esta razón, ahora se hace referencia a ambos bajo el término general SideWalk Linux.
De hecho, dado el uso frecuente de Linux como base para servicios en la nube, hosts de máquinas virtuales e infraestructura basada en contenedores, los atacantes están apuntando cada vez más a Linux entornos con sofisticados exploits y malware. Esto ha dado lugar a software malicioso de linux eso es exclusivo del sistema operativo o se creó como un complemento de las versiones de Windows, lo que demuestra que los atacantes ven una oportunidad cada vez mayor para atacar el software de código abierto.
Comparación con la versión de Windows
Por su parte, SideWalk Linux tiene numerosas similitudes con la versión de Windows del malware, y los investigadores describen solo las más "llamativas" en su publicación, dijeron los investigadores.
Un paralelo obvio son las implementaciones del cifrado ChaCha20, con ambas variantes utilizando un contador con un valor inicial de "0x0B", una característica señalada anteriormente por los investigadores de ESET. La clave ChaCha20 es exactamente la misma en ambas variantes, lo que fortalece la conexión entre los dos, agregaron.
Ambas versiones de SideWalk también usan varios subprocesos para ejecutar tareas específicas. Cada uno tiene exactamente cinco subprocesos: StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend y StageClient::ThreadBizMsgHandler, ejecutados simultáneamente y cada uno realiza una función específica intrínseca a la puerta trasera, según ESET.
Otra similitud entre las dos versiones es que la carga útil del resolutor sin salida, o el contenido contradictorio publicado en servicios web con dominios integrados o direcciones IP, es idéntico en ambas muestras. Los delimitadores (caracteres elegidos para separar un elemento en una cadena de otro elemento) de ambas versiones también son idénticos, así como sus algoritmos de decodificación, dijeron los investigadores.
Los investigadores también encontraron diferencias clave entre SideWalk Linux y su contraparte de Windows. Una es que en las variantes de SideWalk Linux, los módulos están integrados y no se pueden obtener del servidor C2. La versión de Windows, por otro lado, tiene funcionalidades integradas ejecutadas directamente por funciones dedicadas dentro del malware. Algunos complementos también se pueden agregar a través de comunicaciones C2 en la versión de Windows de SideWalk, dijeron los investigadores.
Cada versión también realiza la evasión de defensa de una manera diferente, según descubrieron los investigadores. La variante de Windows de SideWalk "hace todo lo posible para ocultar los objetivos de su código" al eliminar todos los datos y el código que no era necesario para su ejecución, cifrando el resto.
Las variantes de Linux hacen que la detección y el análisis de la puerta trasera sean "significativamente más fáciles" al contener símbolos y dejar algunas claves de autenticación únicas y otros artefactos sin cifrar, dijeron los investigadores.
“Además, la cantidad mucho mayor de funciones en línea en la variante de Windows sugiere que su código se compiló con un nivel más alto de optimizaciones del compilador”, agregaron.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
