SideWalk-takaoven uusi Linux-versio on otettu käyttöön Hongkongin yliopistoa vastaan jatkuvassa hyökkäyksessä, joka on vaarantanut useita palvelimia, jotka ovat tärkeitä oppilaitoksen verkkoympäristössä.
ESETin tutkijat pitivät hyökkäyksen ja takaoven syynä SparklingGoblinin, kehittyneen jatkuvan uhkan (APT) ryhmän, joka kohdistuu organisaatioihin enimmäkseen Itä- ja Kaakkois-Aasiassa ja joka keskittyy akateemiseen sektoriin. blogi julkaistu 14. syyskuuta.
APT on myös yhdistetty hyökkäyksiin monenlaisia organisaatioita ja vertikaalisia toimialoja vastaan ympäri maailmaa, ja se tunnetaan SideWalkin ja Crosswalkin takaovien käyttämisestä haittaohjelmien arsenaalissaan, tutkijat sanoivat.
Itse asiassa hyökkäys Hongkongin yliopistoon on toinen kerta, kun SparklingGoblin on kohdistanut tämän nimenomaisen laitoksen; ensimmäinen tapahtui toukokuussa 2020 opiskelijoiden mielenosoituksissa ESETin tutkijoiden kanssa tunnistaa ensin Linux-version SideWalkista yliopiston verkossa helmikuussa 2021 tunnistamatta sitä sellaisena, he sanoivat.
Viimeisin hyökkäys näyttää olevan osa jatkuvaa kampanjaa, joka alun perin saattoi alkaa joko IP-kameroiden ja/tai verkkovideonauhureiden (NVR) ja DVR-laitteiden hyväksikäytöstä Spectre-bottiverkon tai uhrin palvelimesta löytyneen haavoittuvan WordPress-palvelimen kautta. ympäristö, tutkijat sanoivat.
"SparklingGoblin on jatkuvasti kohdistanut tämän organisaation pitkän ajanjakson ajan ja onnistuneesti vaarantanut useita avainpalvelimia, mukaan lukien tulostuspalvelimen, sähköpostipalvelimen ja palvelimen, jota käytetään hallitsemaan opiskelijoiden aikatauluja ja kurssien ilmoittautumisia", tutkijat sanoivat.
Lisäksi nyt näyttää siltä, että Spectre RAT, jonka ensimmäisen kerran dokumentoivat 360 Netlabin tutkijat, on itse asiassa SideWalk Linux -variantti, kuten ESETin tutkijoiden tunnistaman näytteen useat yhteiset piirteet osoittavat.
SideWalk Linkit SparklingGobliniin
Jalkakäytävä on modulaarinen takaovi, joka voi ladata dynaamisesti komento- ja ohjauspalvelimeltaan (C2) lähetettyjä lisämoduuleja, käyttää Google-dokumentteja kuolleiden pisaroiden ratkaisejana ja Cloudflarea C2-palvelimena. Se voi myös käsitellä oikein välityspalvelimen takana olevaa viestintää.
Tutkijoiden keskuudessa on erilaisia mielipiteitä siitä, mikä uhkaryhmä on vastuussa SideWalkin takaovesta. Vaikka ESET linkittää haittaohjelman SparklingGobliniin, Symantecin tutkijat sanoi, että on Grayflyn työ (alias GREF ja Wicked Panda), kiinalainen APT, joka on toiminut ainakin maaliskuusta 2017 lähtien.
ESET uskoo, että SideWalk on yksinomainen SparklingGoblinille, ja perustaa tämän arvioinnin "korkean luottamuksensa" "useisiin koodin yhtäläisyyksiin SideWalkin Linux-versioiden ja erilaisten SparklingGoblin-työkalujen välillä", tutkijat sanoivat. Yksi SideWalk Linux -näytteistä käyttää myös C2-osoitetta (66.42.103[.]222), jota SparklingGoblin käytti aiemmin, he lisäsivät.
SideWalk- ja Crosswalk-takaovien käytön lisäksi SparklingGoblin tunnetaan myös Motnug- ja ChaCha20-pohjaisten kuormainten käyttöönotosta, PlugX RAT (alias Korplug) ja Cobalt Strike sen hyökkäyksissä.
SideWalk Linuxin alku
ESET-tutkijat dokumentoivat ensimmäisen kerran SideWalkin Linux-version heinäkuussa 2021 ja antoivat sille nimen "StageClient", koska he eivät tuolloin muodostaneet yhteyttä SparklingGobliniin ja SideWalk-takaoviin Windowsille.
Lopulta he linkittivät haittaohjelman modulaariseen Linux-takaoveen, jossa on joustava konfiguraatio, jota käytti Spectre-botnet, joka mainittiin blogi 360 Netlabin tutkijat havaitsivat "valtavan päällekkäisyyden toiminnallisuudessa, infrastruktuurissa ja symboleissa kaikissa binäärimuodoissa", ESET-tutkijat sanoivat.
"Nämä yhtäläisyydet vakuuttavat meidät siitä, että Spectre ja StageClient ovat samasta haittaohjelmaperheestä", he lisäsivät. Itse asiassa molemmat ovat vain Linuxin eri SideWalk, tutkijat lopulta löysivät. Tästä syystä molempiin viitataan nyt kattotermillä SideWalk Linux.
Itse asiassa, koska Linuxia käytetään usein pilvipalvelujen, virtuaalikoneen isäntien ja konttipohjaisen infrastruktuurin perustana, hyökkääjät kohdistavat yhä enemmän Linuxiin ympäristöissä, joissa on kehittyneitä hyväksikäyttöjä ja haittaohjelmia. Tämä on synnyttänyt Linuxin haittaohjelma Se on sekä ainutlaatuinen käyttöjärjestelmälle että se on rakennettu Windows-versioiden täydennykseksi, mikä osoittaa, että hyökkääjät näkevät kasvavan mahdollisuuden kohdistaa avoimen lähdekoodin ohjelmistoja.
Vertailu Windows-versioon
SideWalk Linuxilla on puolestaan lukuisia yhtäläisyyksiä haittaohjelman Windows-version kanssa, ja tutkijat hahmottelevat viestissään vain "silmiinpistävimmät", tutkijat sanoivat.
Yksi ilmeinen rinnakkaisuus on ChaCha20-salauksen toteutukset, joissa molemmissa versioissa käytetään laskuria, jonka alkuarvo on "0x0B" - ominaisuuden, jonka ESET-tutkijat ovat aiemmin panneet merkille. ChaCha20-avain on täsmälleen sama molemmissa versioissa, mikä vahvistaa näiden kahden välistä yhteyttä, he lisäsivät.
Molemmat SideWalkin versiot käyttävät myös useita säikeitä tiettyjen tehtävien suorittamiseen. Niissä kussakin on täsmälleen viisi säiettä — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend ja StageClient::ThreadBizMsgHandler — jotka kukin suorittavat tietyn backSET-toiminnon tai suorittavat samanaikaisesti tietyn toiminnon.
Toinen samankaltaisuus näiden kahden version välillä on, että kuollut-drop-resolver-hyötykuorma – tai vastustajasisältö, joka on lähetetty verkkopalveluihin, joissa on upotettuja verkkotunnuksia tai IP-osoitteita – on identtinen molemmissa näytteissä. Molempien versioiden erottimet - merkit, jotka on valittu erottamaan yksi merkkijonon elementti toisesta elementistä - ovat myös identtisiä, samoin kuin niiden dekoodausalgoritmit, tutkijat sanoivat.
Tutkijat löysivät myös keskeisiä eroja SideWalk Linuxin ja sen Windows-vastineen välillä. Yksi on, että SideWalk Linux -versioissa moduulit ovat sisäänrakennettuja, eikä niitä voi noutaa C2-palvelimelta. Toisaalta Windows-versiossa on sisäänrakennettuja toimintoja, jotka suoritetaan suoraan haittaohjelman sisältämien toimintojen avulla. Jotkut laajennukset voidaan myös lisätä C2-viestinnän kautta SideWalkin Windows-versioon, tutkijat sanoivat.
Jokainen versio suorittaa puolustuksen kiertoa myös eri tavalla, tutkijat havaitsivat. SideWalkin Windows-versio "piitelee paljon koodinsa tavoitteet" leikkaamalla pois kaikki tiedot ja koodit, jotka olivat tarpeettomia sen suorittamiseksi, ja salaamalla loput.
Linux-versiot tekevät takaoven havaitsemisesta ja analysoinnista "huomattavasti helpompaa" sisältämällä symboleja ja jättämällä joitain ainutlaatuisia todennusavaimia ja muita artefakteja salaamattomiksi, tutkijat sanoivat.
"Lisäksi Windows-version paljon suurempi sisäisten toimintojen määrä viittaa siihen, että sen koodi on käännetty korkeammalla kääntäjän optimointitasolla", he lisäsivät.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
