SparklingGoblin نسخه لینوکس SideWalk Backdoor را در کمپین سایبری در حال انجام به روز می کند

یک نسخه جدید لینوکس از درپشتی SideWalk در یک حمله مداوم علیه دانشگاه هنگ کنگ مستقر شده است که چندین کلید سرور را در محیط شبکه موسسه به خطر می اندازد.

محققان ESET این حمله و درپشتی را به SparklingGoblin، یک گروه تهدید مداوم پیشرفته (APT) نسبت دادند که سازمان‌هایی را بیشتر در شرق و جنوب شرق آسیا با تمرکز بر بخش دانشگاهی هدف قرار می‌دهد. پست های وبلاگ 14 سپتامبر منتشر شد.

به گفته محققان، APT همچنین با حملات به طیف گسترده ای از سازمان ها و صنایع عمودی در سراسر جهان مرتبط است و به دلیل استفاده از درهای پشتی SideWalk و Crosswalk در زرادخانه بدافزارهای خود شناخته شده است.

در واقع، حمله به دانشگاه هنگ کنگ دومین باری است که SparklingGoblin این موسسه خاص را هدف قرار می دهد. اولین مورد در ماه مه 2020 و در جریان اعتراضات دانشجویی با محققان ESET بود ابتدا نوع لینوکس را شناسایی کرد آنها گفتند که SideWalk در شبکه دانشگاه در فوریه 2021 بدون شناسایی واقعی آن.

به نظر می رسد آخرین حمله بخشی از یک کمپین مداوم باشد که در ابتدا ممکن است با بهره برداری از دوربین های IP و/یا ضبط کننده ویدیوی شبکه (NVR) و دستگاه های DVR، با استفاده از بات نت Spectre یا از طریق یک سرور وردپرس آسیب پذیر موجود در قربانی آغاز شده باشد. به گفته محققان محیط زیست.

محققان گفتند: "SparklingGoblin به طور مداوم این سازمان را در یک دوره زمانی طولانی هدف قرار داده است، و با موفقیت چندین سرور کلیدی، از جمله یک سرور چاپ، یک سرور ایمیل، و یک سرور مورد استفاده برای مدیریت زمان‌بندی دانش‌آموزان و ثبت نام دوره‌ها را به خطر انداخته است."

علاوه بر این، اکنون به نظر می‌رسد که Spectre RAT که برای اولین بار توسط محققان در Netlab 360 ثبت شد، در واقع یک نوع لینوکس SideWalk است، همانطور که با اشتراکات متعدد بین نمونه شناسایی شده توسط محققان ESET نشان داده شده است.

پیوندهای SideWalk به SparklingGoblin

پیاده رو یک درب پشتی ماژولار است که می‌تواند به صورت پویا ماژول‌های اضافی ارسال شده از سرور فرمان و کنترل (C2) خود را بارگیری کند، از Google Docs به‌عنوان یک حل‌کننده مرگ استفاده می‌کند و از Cloudflare به عنوان سرور C2 استفاده می‌کند. همچنین می تواند ارتباطات پشت پراکسی را به درستی مدیریت کند.

در مورد اینکه کدام گروه تهدید مسئول درپشتی SideWalk است، بین محققان نظرات متفاوتی وجود دارد. در حالی که ESET بدافزار را به SparklingGoblin پیوند می دهد، محققان سیمانتک گفت این است کار Grayfly (با نام مستعار GREF و Wicked Panda)، یک APT چینی فعال حداقل از مارس 2017.

محققان گفتند که ESET معتقد است که SideWalk منحصر به SparklingGoblin است و "اعتماد بالا" خود را در این ارزیابی بر اساس "شباهت‌های کدهای متعدد بین انواع لینوکس SideWalk و ابزارهای مختلف SparklingGoblin است." یکی از نمونه‌های SideWalk Linux نیز از آدرس C2 (66.42.103[.]222) استفاده می‌کند که قبلاً توسط SparklingGoblin استفاده می‌شد.

علاوه بر استفاده از درهای پشتی SideWalk و Crosswalk، SparklingGoblin همچنین برای استقرار لودرهای مبتنی بر Motnug و ChaCha20 شناخته شده است. PlugX RAT (معروف به Korplug) و Cobalt Strike در حملات آن.

راه اندازی SideWalk Linux

محققان ESET برای اولین بار نوع لینوکس SideWalk را در جولای 2021 مستند کردند و آن را "StageClient" نامیدند زیرا در آن زمان به SparklingGoblin و درب پشتی SideWalk برای ویندوز متصل نشدند.

آنها در نهایت این بدافزار را به یک درب پشتی لینوکس ماژولار با پیکربندی انعطاف‌پذیر مرتبط کردند که توسط بات‌نت Spectre که در پست های وبلاگ محققان ESET گفتند که توسط محققان در 360 Netlab، "یک همپوشانی بزرگ در عملکرد، زیرساخت و نمادهای موجود در همه باینری‌ها وجود دارد."

آنها افزودند: "این شباهت ها ما را متقاعد می کند که Spectre و StageClient از یک خانواده بدافزار هستند." در واقع، هر دو فقط لینوکس مختلف از SideWalk هستند، محققان در نهایت دریافتند. به همین دلیل، هر دو در حال حاضر تحت عنوان چتر SideWalk Linux نامیده می شوند.

در واقع، با توجه به استفاده مکرر از لینوکس به عنوان مبنایی برای سرویس‌های ابری، میزبان‌های ماشین مجازی و زیرساخت‌های مبتنی بر کانتینر، مهاجمان به طور فزاینده ای لینوکس را هدف قرار می دهند محیط هایی با اکسپلویت ها و بدافزارهای پیچیده. این باعث شده است بدافزار لینوکس که هم برای سیستم عامل منحصر به فرد است و هم به عنوان مکمل نسخه های ویندوز ساخته شده است و نشان می دهد که مهاجمان فرصتی رو به رشد برای هدف قرار دادن نرم افزار منبع باز می بینند.

مقایسه با نسخه ویندوز

به نوبه خود، SideWalk Linux شباهت های زیادی به نسخه ویندوز این بدافزار دارد، به گفته محققان، محققان در پست خود تنها "قابل توجه" ترین آنها را بیان می کنند.

یکی از موارد مشابه، پیاده‌سازی رمزگذاری ChaCha20 است که هر دو نوع از شمارنده‌ای با مقدار اولیه "0x0B" استفاده می‌کنند - مشخصه‌ای که قبلاً توسط محققان ESET ذکر شده بود. کلید ChaCha20 در هر دو نوع دقیقاً یکسان است و ارتباط بین این دو را تقویت می کند.

هر دو نسخه SideWalk همچنین از چندین رشته برای اجرای وظایف خاص استفاده می کنند. هر کدام دقیقاً پنج رشته دارند - StageClient::ThreadNetworkReverse، StageClient::ThreadHeartDetect، StageClient::ThreadPollingDriven، ThreadBizMsgSend، و StageClient::ThreadBizMsgHandler که هر کدام به طور خاص به صورت ET انجام می شوند.

یکی دیگر از شباهت‌های این دو نسخه این است که بار بار حل‌کننده مرده - یا محتوای متخاصم ارسال شده در سرویس‌های وب با دامنه‌های جاسازی شده یا آدرس‌های IP - در هر دو نمونه یکسان است. به گفته محققان، جداکننده ها - کاراکترهایی که برای جدا کردن یک عنصر در یک رشته از عنصر دیگر انتخاب می شوند - هر دو نسخه و همچنین الگوریتم های رمزگشایی آنها یکسان هستند.

محققان همچنین متوجه تفاوت‌های کلیدی بین SideWalk Linux و همتای ویندوزی آن شدند. یکی این است که در انواع لینوکس SideWalk، ماژول ها ساخته شده اند و نمی توانند از سرور C2 واکشی شوند. از سوی دیگر، نسخه ویندوز دارای عملکردهای داخلی است که مستقیماً توسط توابع اختصاصی در داخل بدافزار اجرا می شود. به گفته محققان، برخی از پلاگین ها نیز می توانند از طریق ارتباطات C2 در نسخه ویندوز SideWalk اضافه شوند.

محققان دریافتند که هر نسخه فرار دفاعی را به روشی متفاوت نیز انجام می دهد. نوع ویندوز SideWalk با حذف تمام داده‌ها و کدهایی که برای اجرای آن ضروری نبوده و بقیه را رمزگذاری می‌کند، تلاش زیادی می‌کند تا اهداف کد خود را پنهان کند.

به گفته محققان، انواع لینوکس تشخیص و تجزیه و تحلیل درب پشتی را با داشتن نمادها و رمزگذاری نشده باقی گذاشتن کلیدهای احراز هویت منحصر به فرد و سایر مصنوعات به طور قابل توجهی آسان می کند.

آنها افزودند: "علاوه بر این، تعداد بسیار بیشتر توابع درون خطی در نوع ویندوز نشان می دهد که کد آن با سطح بالاتری از بهینه سازی کامپایلر کامپایل شده است."