Une nouvelle version Linux de la porte dérobée SideWalk a été déployée contre une université de Hong Kong dans le cadre d'une attaque persistante qui a compromis plusieurs serveurs clés de l'environnement réseau de l'institution.
Les chercheurs d'ESET ont attribué l'attaque et la porte dérobée à SparklingGoblin, un groupe de menaces persistantes avancées (APT) qui cible les organisations principalement en Asie de l'Est et du Sud-Est, en mettant l'accent sur le secteur universitaire, ont-ils déclaré dans un communiqué. blog récents publié le 14 septembre.
L'APT a également été liée à des attaques contre un large éventail d'organisations et d'industries verticales à travers le monde, et est connue pour utiliser les portes dérobées SideWalk et Crosswalk dans son arsenal de logiciels malveillants, ont déclaré des chercheurs.
En fait, l'attaque contre l'université de Hong Kong est la deuxième fois que SparklingGoblin cible cette institution particulière ; le premier a eu lieu en mai 2020 lors de manifestations étudiantes, avec des chercheurs d'ESET première détection de la variante Linux de SideWalk dans le réseau de l'université en février 2021 sans réellement l'identifier comme tel, ont-ils déclaré.
La dernière attaque semble faire partie d'une campagne continue qui a peut-être commencé initialement par l'exploitation de caméras IP et/ou d'enregistreurs vidéo en réseau (NVR) et d'appareils DVR, en utilisant le botnet Spectre ou via un serveur WordPress vulnérable trouvé dans la victime. l'environnement, selon les chercheurs.
"SparklingGoblin a continuellement ciblé cette organisation sur une longue période, compromettant avec succès plusieurs serveurs clés, y compris un serveur d'impression, un serveur de messagerie et un serveur utilisé pour gérer les horaires des étudiants et les inscriptions aux cours", ont déclaré les chercheurs.
De plus, il semble maintenant que le Spectre RAT, documenté pour la première fois par des chercheurs de 360 Netlab, est en fait une variante de SideWalk Linux, comme le montrent les multiples points communs entre l'échantillon identifié par les chercheurs d'ESET, ont-ils déclaré.
Liens vers SparklingGoblin
Trottoir est une porte dérobée modulaire qui peut charger dynamiquement des modules supplémentaires envoyés depuis son serveur de commande et de contrôle (C2), utilise Google Docs comme résolveur de chute morte et utilise Cloudflare comme serveur C2. Il peut également gérer correctement la communication derrière un proxy.
Les opinions des chercheurs divergent quant au groupe de menaces responsable de la porte dérobée SideWalk. Bien qu'ESET lie le logiciel malveillant à SparklingGoblin, chercheurs chez Symantec dit que c'est le travail de Grayfly (alias GREF et Wicked Panda), un APT chinois actif depuis au moins mars 2017.
ESET estime que SideWalk est exclusif à SparklingGoblin, fondant sa "haute confiance" dans cette évaluation sur "de multiples similitudes de code entre les variantes Linux de SideWalk et divers outils SparklingGoblin", ont déclaré les chercheurs. L'un des exemples SideWalk Linux utilise également une adresse C2 (66.42.103[.]222) qui était auparavant utilisée par SparklingGoblin, ont-ils ajouté.
En plus d'utiliser les portes dérobées SideWalk et Crosswalk, SparklingGoblin est également connu pour déployer des chargeurs basés sur Motnug et ChaCha20, le PlugX RAT (aka Korplug), et Cobalt Strike dans ses attaques.
Création de SideWalk Linux
Les chercheurs d'ESET ont documenté pour la première fois la variante Linux de SideWalk en juillet 2021, en la surnommant "StageClient" car ils n'avaient pas à l'époque établi la connexion avec SparklingGoblin et la porte dérobée SideWalk pour Windows.
Ils ont finalement lié le logiciel malveillant à une porte dérobée Linux modulaire avec une configuration flexible utilisée par le botnet Spectre mentionné dans un blog récents par des chercheurs de 360 Netlab, trouvant "un énorme chevauchement dans les fonctionnalités, l'infrastructure et les symboles présents dans tous les binaires", ont déclaré les chercheurs d'ESET.
"Ces similitudes nous convainquent que Spectre et StageClient appartiennent à la même famille de logiciels malveillants", ont-ils ajouté. En fait, les deux ne sont que des variantes Linux de SideWalk, ont finalement découvert des chercheurs. Pour cette raison, les deux sont désormais désignés sous le terme générique SideWalk Linux.
En effet, étant donné l'utilisation fréquente de Linux comme base pour les services cloud, les hôtes de machines virtuelles et l'infrastructure basée sur des conteneurs, les attaquants ciblent de plus en plus Linux environnements avec des exploits sophistiqués et des logiciels malveillants. Cela a donné lieu à Malware Linux qui est à la fois unique au système d'exploitation ou construit en complément des versions de Windows, démontrant que les attaquants voient une opportunité croissante de cibler le logiciel open source.
Comparaison avec la version Windows
Pour sa part, SideWalk Linux présente de nombreuses similitudes avec la version Windows du logiciel malveillant, les chercheurs ne décrivant que les plus "frappants" dans leur article, ont déclaré les chercheurs.
Un parallèle évident est la mise en œuvre du cryptage ChaCha20, les deux variantes utilisant un compteur avec une valeur initiale de "0x0B" - une caractéristique précédemment notée par les chercheurs d'ESET. La clé ChaCha20 est exactement la même dans les deux variantes, renforçant la connexion entre les deux, ont-ils ajouté.
Les deux versions de SideWalk utilisent également plusieurs threads pour exécuter des tâches spécifiques. Ils ont chacun exactement cinq threads - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend et StageClient::ThreadBizMsgHandler - exécutés simultanément qui exécutent chacun une fonction spécifique intrinsèque à la porte dérobée, selon ESET.
Une autre similitude entre les deux versions est que la charge utile du résolveur dead-drop - ou le contenu contradictoire publié sur les services Web avec des domaines ou des adresses IP intégrés - est identique dans les deux échantillons. Les délimiteurs - caractères choisis pour séparer un élément d'une chaîne d'un autre élément - des deux versions sont également identiques, ainsi que leurs algorithmes de décodage, ont déclaré les chercheurs.
Les chercheurs ont également trouvé des différences clés entre SideWalk Linux et son homologue Windows. La première est que dans les variantes de SideWalk Linux, les modules sont intégrés et ne peuvent pas être récupérés à partir du serveur C2. La version Windows, en revanche, possède des fonctionnalités intégrées exécutées directement par des fonctions dédiées au sein du malware. Certains plug-ins peuvent également être ajoutés via les communications C2 dans la version Windows de SideWalk, ont déclaré les chercheurs.
Chaque version effectue également l'évasion de la défense d'une manière différente, ont découvert les chercheurs. La variante Windows de SideWalk "fait de grands efforts pour dissimuler les objectifs de son code" en supprimant toutes les données et le code qui n'étaient pas nécessaires à son exécution, en chiffrant le reste.
Les variantes Linux rendent la détection et l'analyse de la porte dérobée "considérablement plus faciles" en contenant des symboles et en laissant certaines clés d'authentification uniques et d'autres artefacts non chiffrés, ont déclaré les chercheurs.
"De plus, le nombre beaucoup plus élevé de fonctions en ligne dans la variante Windows suggère que son code a été compilé avec un niveau plus élevé d'optimisations du compilateur", ont-ils ajouté.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
