SideWalki tagaukse uus Linuxi versioon on kasutusele võetud Hongkongi ülikooli vastu pidevas rünnakus, mis ohustab mitut asutuse võrgukeskkonna võtme serverit.
ESET-i teadlased omistasid rünnaku ja tagaukse SparklingGoblinile, arenenud püsivate ohtude (APT) rühmale, mis on suunatud peamiselt Ida- ja Kagu-Aasia organisatsioonidele, keskendudes akadeemilisele sektorile. blogi postitus avaldatud 14. sept.
Teadlaste sõnul on APT-d seostatud ka rünnakutega paljude organisatsioonide ja vertikaalsete tööstusharude vastu kogu maailmas ning see on tuntud selle poolest, et kasutab oma pahavara arsenalis SideWalki ja Crosswalki tagauksi.
Tegelikult on rünnak Hongkongi ülikooli vastu teist korda, kui SparklingGoblin on selle konkreetse institutsiooni sihikule võtnud; esimene toimus 2020. aasta mais üliõpilaste meeleavalduste ajal ESET-i teadlastega esmalt Linuxi variandi tuvastamine SideWalki ülikooli võrgus 2021. aasta veebruaris, ilma et see oleks seda sellisena tuvastanud, ütlesid nad.
Viimane rünnak näib olevat osa pidevast kampaaniast, mis algselt võis alata kas IP-kaamerate ja/või võrguvideosalvestite (NVR) ja DVR-seadmete ärakasutamisest, kasutades Spectre botnetti või ohvri veebilehelt leitud haavatava WordPressi serveri kaudu. keskkond, ütlesid teadlased.
"SparklingGoblin on seda organisatsiooni pidevalt sihikule võtnud pika aja jooksul, ohustades edukalt mitut võtmeserverit, sealhulgas prindiserverit, meiliserverit ja serverit, mida kasutatakse õpilaste ajakavade ja kursuste registreerimiste haldamiseks," ütlesid teadlased.
Veelgi enam, nüüd näib, et Spectre RAT, mille esmakordselt dokumenteerisid 360 Netlabi teadlased, on tegelikult SideWalk Linuxi variant, nagu näitavad mitmed sarnasused ESET-i teadlaste tuvastatud valimi vahel, ütlesid nad.
SideWalki lingid SparklingGoblinile
SideWalk on modulaarne tagauks, mis suudab dünaamiliselt laadida täiendavaid mooduleid, mis on saadetud oma käsu-ja-juhtimisserverist (C2), kasutab Google'i dokumente surnud tilkade lahendajana ja Cloudflare'i C2-serverina. Samuti saab see korralikult hallata puhverserveri taga olevat suhtlust.
Teadlaste seas on erinevaid arvamusi selle kohta, milline ohurühm vastutab SideWalki tagaukse eest. Kuigi ESET seob pahavara SparklingGobliniga, Symanteci teadlased ütles, et on Grayfly töö (teise nimega GREF ja Wicked Panda), Hiina APT, mis on tegutsenud vähemalt 2017. aasta märtsist.
ESET usub, et SideWalk on eksklusiivne ainult SparklingGoblinile, tuginedes selle hinnangu "suurele usaldusele" "SideWalki Linuxi variantide ja erinevate SparklingGoblini tööriistade mitmele koodisarnasusele", ütlesid teadlased. Üks SideWalk Linuxi näidistest kasutab ka C2-aadressi (66.42.103[.]222), mida SparklingGoblin varem kasutas, lisasid nad.
Lisaks SideWalki ja Crosswalki tagauste kasutamisele on SparklingGoblin tuntud ka Motnugi ja ChaCha20-põhiste laadurite juurutamise poolest, PlugX RAT (teise nimega Korplug) ja Cobalt Strike'i rünnakutes.
SideWalk Linuxi algus
ESET-i teadlased dokumenteerisid SideWalki Linuxi variandi esmakordselt 2021. aasta juulis, pannes sellele nimeks StageClient, kuna nad ei loonud sel ajal ühendust SparklingGoblini ja Windowsi SideWalki tagauksega.
Lõpuks sidusid nad pahavara modulaarse Linuxi tagauksega, mille paindlik konfiguratsioon kasutas Spectre botnet, mida mainiti blogi postitus 360 Netlabi teadlased, leides, et kõigis kahendfailides on funktsionaalsus, infrastruktuur ja sümbolid tohutult kattuvad, ütlesid ESET-i teadlased.
"Need sarnasused veenavad meid, et Spectre ja StageClient on samast pahavara perekonnast," lisasid nad. Tegelikult on mõlemad SideWalki erinevad Linuxid, leidsid teadlased lõpuks. Sel põhjusel viidatakse mõlemale nüüd katusterminile SideWalk Linux.
Tõepoolest, arvestades Linuxi sagedast kasutamist pilveteenuste, virtuaalmasinate hostide ja konteineripõhise infrastruktuuri alusena, on ründajad tõepoolest sihivad üha enam Linuxit keerukate ärakasutamiste ja pahavaraga keskkondades. See on tekitanud Linuxi pahavara mis on nii operatsioonisüsteemile ainulaadne kui ka Windowsi versioonide täienduseks loodud, näidates, et ründajad näevad kasvavat võimalust sihtida avatud lähtekoodiga tarkvara.
Võrdlus Windowsi versiooniga
SideWalk Linuxil on omalt poolt palju sarnasusi pahavara Windowsi versiooniga, kusjuures teadlased toovad oma postituses välja ainult kõige silmatorkavamad, ütlesid teadlased.
Üheks ilmseks paralleeliks on ChaCha20 krüptimise juurutamine, kusjuures mõlema variandi puhul kasutatakse loendurit algväärtusega 0x0B – seda tunnust on varem märkinud ESET-i teadlased. ChaCha20 võti on mõlemas variandis täpselt sama, tugevdades nende kahe vahelist seost, lisasid nad.
Mõlemad SideWalki versioonid kasutavad konkreetsete ülesannete täitmiseks ka mitut lõime. Kõigil neil on täpselt viis lõime – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend ja StageClient::ThreadBizMsgHandler –, millest igaüks täidab samaaegselt kindlat backSET-funktsiooni.
Veel üks sarnasus kahe versiooni vahel on see, et surnud-drop-lahendaja kasulik koormus – või manustatud domeenide või IP-aadressidega veebiteenustesse postitatud vastandlik sisu – on mõlemas näidises identne. Uurijad ütlesid, et mõlema versiooni eraldajad - stringi ühe elemendi eraldamiseks teisest elemendist valitud märgid - on samuti identsed, samuti nende dekodeerimisalgoritmid.
Teadlased leidsid ka peamised erinevused SideWalk Linuxi ja selle Windowsi vaste vahel. Üks on see, et SideWalk Linuxi variantides on moodulid sisse ehitatud ja neid ei saa C2 serverist tuua. Teisest küljest on Windowsi versioonil sisseehitatud funktsioonid, mida käivitavad otse pahavara spetsiaalsed funktsioonid. Teadlaste sõnul saab SideWalki Windowsi versioonis C2-side kaudu lisada ka mõningaid pistikprogramme.
Teadlased leidsid, et iga versioon teostab kaitsest kõrvalehoidmist ka erineval viisil. SideWalki Windowsi variant "näeb palju vaeva, et varjata oma koodi eesmärke", kärpides välja kõik andmed ja koodi, mis olid selle täitmiseks ebavajalikud, ning krüpteerib ülejäänud.
Uurijad ütlesid, et Linuxi variandid muudavad tagaukse tuvastamise ja analüüsi "oluliselt lihtsamaks", sisaldades sümboleid ja jättes mõned unikaalsed autentimisvõtmed ja muud artefaktid krüptimata.
"Lisaks viitab Windowsi variandi palju suurem arv sisseehitatud funktsioone sellele, et selle kood kompileeriti kompilaatorite kõrgemal tasemel optimeerimisega," lisasid nad.
