یک نسخه جدید لینوکس از درپشتی SideWalk در یک حمله مداوم علیه دانشگاه هنگ کنگ مستقر شده است که چندین کلید سرور را در محیط شبکه موسسه به خطر می اندازد.
محققان ESET این حمله و درپشتی را به SparklingGoblin، یک گروه تهدید مداوم پیشرفته (APT) نسبت دادند که سازمانهایی را بیشتر در شرق و جنوب شرق آسیا با تمرکز بر بخش دانشگاهی هدف قرار میدهد. پست های وبلاگ 14 سپتامبر منتشر شد.
به گفته محققان، APT همچنین با حملات به طیف گسترده ای از سازمان ها و صنایع عمودی در سراسر جهان مرتبط است و به دلیل استفاده از درهای پشتی SideWalk و Crosswalk در زرادخانه بدافزارهای خود شناخته شده است.
در واقع، حمله به دانشگاه هنگ کنگ دومین باری است که SparklingGoblin این موسسه خاص را هدف قرار می دهد. اولین مورد در ماه مه 2020 و در جریان اعتراضات دانشجویی با محققان ESET بود ابتدا نوع لینوکس را شناسایی کرد آنها گفتند که SideWalk در شبکه دانشگاه در فوریه 2021 بدون شناسایی واقعی آن.
به نظر می رسد آخرین حمله بخشی از یک کمپین مداوم باشد که در ابتدا ممکن است با بهره برداری از دوربین های IP و/یا ضبط کننده ویدیوی شبکه (NVR) و دستگاه های DVR، با استفاده از بات نت Spectre یا از طریق یک سرور وردپرس آسیب پذیر موجود در قربانی آغاز شده باشد. به گفته محققان محیط زیست.
محققان گفتند: "SparklingGoblin به طور مداوم این سازمان را در یک دوره زمانی طولانی هدف قرار داده است، و با موفقیت چندین سرور کلیدی، از جمله یک سرور چاپ، یک سرور ایمیل، و یک سرور مورد استفاده برای مدیریت زمانبندی دانشآموزان و ثبت نام دورهها را به خطر انداخته است."
علاوه بر این، اکنون به نظر میرسد که Spectre RAT که برای اولین بار توسط محققان در Netlab 360 ثبت شد، در واقع یک نوع لینوکس SideWalk است، همانطور که با اشتراکات متعدد بین نمونه شناسایی شده توسط محققان ESET نشان داده شده است.
پیوندهای SideWalk به SparklingGoblin
پیاده رو یک درب پشتی ماژولار است که میتواند به صورت پویا ماژولهای اضافی ارسال شده از سرور فرمان و کنترل (C2) خود را بارگیری کند، از Google Docs بهعنوان یک حلکننده مرگ استفاده میکند و از Cloudflare به عنوان سرور C2 استفاده میکند. همچنین می تواند ارتباطات پشت پراکسی را به درستی مدیریت کند.
در مورد اینکه کدام گروه تهدید مسئول درپشتی SideWalk است، بین محققان نظرات متفاوتی وجود دارد. در حالی که ESET بدافزار را به SparklingGoblin پیوند می دهد، محققان سیمانتک گفت این است کار Grayfly (با نام مستعار GREF و Wicked Panda)، یک APT چینی فعال حداقل از مارس 2017.
محققان گفتند که ESET معتقد است که SideWalk منحصر به SparklingGoblin است و "اعتماد بالا" خود را در این ارزیابی بر اساس "شباهتهای کدهای متعدد بین انواع لینوکس SideWalk و ابزارهای مختلف SparklingGoblin است." یکی از نمونههای SideWalk Linux نیز از آدرس C2 (66.42.103[.]222) استفاده میکند که قبلاً توسط SparklingGoblin استفاده میشد.
علاوه بر استفاده از درهای پشتی SideWalk و Crosswalk، SparklingGoblin همچنین برای استقرار لودرهای مبتنی بر Motnug و ChaCha20 شناخته شده است. PlugX RAT (معروف به Korplug) و Cobalt Strike در حملات آن.
راه اندازی SideWalk Linux
محققان ESET برای اولین بار نوع لینوکس SideWalk را در جولای 2021 مستند کردند و آن را "StageClient" نامیدند زیرا در آن زمان به SparklingGoblin و درب پشتی SideWalk برای ویندوز متصل نشدند.
آنها در نهایت این بدافزار را به یک درب پشتی لینوکس ماژولار با پیکربندی انعطافپذیر مرتبط کردند که توسط باتنت Spectre که در پست های وبلاگ محققان ESET گفتند که توسط محققان در 360 Netlab، "یک همپوشانی بزرگ در عملکرد، زیرساخت و نمادهای موجود در همه باینریها وجود دارد."
آنها افزودند: "این شباهت ها ما را متقاعد می کند که Spectre و StageClient از یک خانواده بدافزار هستند." در واقع، هر دو فقط لینوکس مختلف از SideWalk هستند، محققان در نهایت دریافتند. به همین دلیل، هر دو در حال حاضر تحت عنوان چتر SideWalk Linux نامیده می شوند.
در واقع، با توجه به استفاده مکرر از لینوکس به عنوان مبنایی برای سرویسهای ابری، میزبانهای ماشین مجازی و زیرساختهای مبتنی بر کانتینر، مهاجمان به طور فزاینده ای لینوکس را هدف قرار می دهند محیط هایی با اکسپلویت ها و بدافزارهای پیچیده. این باعث شده است بدافزار لینوکس که هم برای سیستم عامل منحصر به فرد است و هم به عنوان مکمل نسخه های ویندوز ساخته شده است و نشان می دهد که مهاجمان فرصتی رو به رشد برای هدف قرار دادن نرم افزار منبع باز می بینند.
مقایسه با نسخه ویندوز
به نوبه خود، SideWalk Linux شباهت های زیادی به نسخه ویندوز این بدافزار دارد، به گفته محققان، محققان در پست خود تنها "قابل توجه" ترین آنها را بیان می کنند.
یکی از موارد مشابه، پیادهسازی رمزگذاری ChaCha20 است که هر دو نوع از شمارندهای با مقدار اولیه "0x0B" استفاده میکنند - مشخصهای که قبلاً توسط محققان ESET ذکر شده بود. کلید ChaCha20 در هر دو نوع دقیقاً یکسان است و ارتباط بین این دو را تقویت می کند.
هر دو نسخه SideWalk همچنین از چندین رشته برای اجرای وظایف خاص استفاده می کنند. هر کدام دقیقاً پنج رشته دارند - StageClient::ThreadNetworkReverse، StageClient::ThreadHeartDetect، StageClient::ThreadPollingDriven، ThreadBizMsgSend، و StageClient::ThreadBizMsgHandler که هر کدام به طور خاص به صورت ET انجام می شوند.
یکی دیگر از شباهتهای این دو نسخه این است که بار بار حلکننده مرده - یا محتوای متخاصم ارسال شده در سرویسهای وب با دامنههای جاسازی شده یا آدرسهای IP - در هر دو نمونه یکسان است. به گفته محققان، جداکننده ها - کاراکترهایی که برای جدا کردن یک عنصر در یک رشته از عنصر دیگر انتخاب می شوند - هر دو نسخه و همچنین الگوریتم های رمزگشایی آنها یکسان هستند.
محققان همچنین متوجه تفاوتهای کلیدی بین SideWalk Linux و همتای ویندوزی آن شدند. یکی این است که در انواع لینوکس SideWalk، ماژول ها ساخته شده اند و نمی توانند از سرور C2 واکشی شوند. از سوی دیگر، نسخه ویندوز دارای عملکردهای داخلی است که مستقیماً توسط توابع اختصاصی در داخل بدافزار اجرا می شود. به گفته محققان، برخی از پلاگین ها نیز می توانند از طریق ارتباطات C2 در نسخه ویندوز SideWalk اضافه شوند.
محققان دریافتند که هر نسخه فرار دفاعی را به روشی متفاوت نیز انجام می دهد. نوع ویندوز SideWalk با حذف تمام دادهها و کدهایی که برای اجرای آن ضروری نبوده و بقیه را رمزگذاری میکند، تلاش زیادی میکند تا اهداف کد خود را پنهان کند.
به گفته محققان، انواع لینوکس تشخیص و تجزیه و تحلیل درب پشتی را با داشتن نمادها و رمزگذاری نشده باقی گذاشتن کلیدهای احراز هویت منحصر به فرد و سایر مصنوعات به طور قابل توجهی آسان می کند.
آنها افزودند: "علاوه بر این، تعداد بسیار بیشتر توابع درون خطی در نوع ویندوز نشان می دهد که کد آن با سطح بالاتری از بهینه سازی کامپایلر کامپایل شده است."