स्पार्कलिंगगोब्लिन ने चल रहे साइबर अभियान प्लेटोब्लॉकचेन डेटा इंटेलिजेंस में साइडवॉक बैकडोर के लिनक्स संस्करण को अपडेट किया। लंबवत खोज. ऐ.

स्पार्कलिंगगोब्लिन ने चल रहे साइबर अभियान में साइडवॉक बैकडोर के लिनक्स संस्करण को अपडेट किया

टाइम स्टैम्प: 14 सितंबर, 2022 शाम 12:15 बजे

साइडवॉक पिछले दरवाजे का एक नया लिनक्स संस्करण एक हांगकांग विश्वविद्यालय के खिलाफ लगातार हमले में तैनात किया गया है जिसने संस्थान के नेटवर्क वातावरण के लिए कई सर्वर कुंजी से समझौता किया है।

ईएसईटी के शोधकर्ताओं ने हमले और पिछले दरवाजे के लिए स्पार्कलिंग गोब्लिन को जिम्मेदार ठहराया, जो एक उन्नत लगातार खतरा (एपीटी) समूह है जो अकादमिक क्षेत्र पर ध्यान देने के साथ ज्यादातर पूर्वी और दक्षिणपूर्व एशिया में संगठनों को लक्षित करता है, उन्होंने एक में कहा ब्लॉग पोस्ट 14 सितंबर को प्रकाशित।

शोधकर्ताओं ने कहा कि एपीटी को दुनिया भर के संगठनों और ऊर्ध्वाधर उद्योगों की एक विस्तृत श्रृंखला पर हमलों से भी जोड़ा गया है, और मैलवेयर के अपने शस्त्रागार में साइडवॉक और क्रॉसवॉक बैकडोर का उपयोग करने के लिए जाना जाता है।

वास्तव में, हांगकांग विश्वविद्यालय पर हमला दूसरी बार है जब स्पार्कलिंगगोब्लिन ने इस विशेष संस्थान को निशाना बनाया है; पहला मई 2020 में छात्र विरोध के दौरान ESET शोधकर्ताओं के साथ था पहले लिनक्स संस्करण का पता लगाना उन्होंने कहा कि फरवरी 2021 में विश्वविद्यालय के नेटवर्क में साइडवॉक की वास्तव में पहचान किए बिना, उन्होंने कहा।

नवीनतम हमला एक निरंतर अभियान का हिस्सा प्रतीत होता है जो शुरू में आईपी कैमरों और / या नेटवर्क वीडियो रिकॉर्डर (एनवीआर) और डीवीआर उपकरणों के शोषण के साथ शुरू हुआ हो सकता है, स्पेक्टर बॉटनेट का उपयोग करके या पीड़ित में पाए जाने वाले कमजोर वर्डप्रेस सर्वर के माध्यम से। पर्यावरण, शोधकर्ताओं ने कहा।

"स्पार्कलिंगगोब्लिन ने इस संगठन को लंबे समय तक लगातार लक्षित किया है, सफलतापूर्वक कई प्रमुख सर्वरों से समझौता किया है, जिसमें एक प्रिंट सर्वर, एक ईमेल सर्वर और एक सर्वर शामिल है जिसका उपयोग छात्र कार्यक्रम और पाठ्यक्रम पंजीकरण को प्रबंधित करने के लिए किया जाता है," शोधकर्ताओं ने कहा।

इसके अलावा, अब ऐसा प्रतीत होता है कि स्पेक्टर आरएटी, जिसे पहले 360 नेटलैब में शोधकर्ताओं द्वारा प्रलेखित किया गया था, वास्तव में एक साइडवॉक लिनक्स संस्करण है, जैसा कि ईएसईटी शोधकर्ताओं द्वारा पहचाने गए नमूने के बीच कई समानताओं द्वारा दिखाया गया है, उन्होंने कहा।

स्पार्कलिंगगोब्लिन के लिए साइडवॉक लिंक

फ़ुटपाथ एक मॉड्यूलर बैकडोर है जो अपने कमांड-एंड-कंट्रोल (C2) सर्वर से भेजे गए अतिरिक्त मॉड्यूल को गतिशील रूप से लोड कर सकता है, Google डॉक्स को डेड-ड्रॉप रिज़ॉल्वर के रूप में उपयोग करता है, और क्लाउडफ्लेयर को C2 सर्वर के रूप में उपयोग करता है। यह प्रॉक्सी के पीछे संचार को भी ठीक से संभाल सकता है।

शोधकर्ताओं के बीच अलग-अलग राय है कि साइडवॉक पिछले दरवाजे के लिए कौन सा खतरा समूह जिम्मेदार है। जबकि ईएसईटी मैलवेयर को स्पार्कलिंगगोब्लिन से जोड़ता है, सिमेंटेक के शोधकर्ता कहा है ग्रेफ्लाई का काम (उर्फ GREF और दुष्ट पांडा), एक चीनी APT जो कम से कम मार्च 2017 से सक्रिय है।

ईएसईटी का मानना ​​​​है कि साइडवॉक स्पार्कलिंगगोब्लिन के लिए विशिष्ट है, इस मूल्यांकन में "उच्च आत्मविश्वास" को "साइडवॉक के लिनक्स वेरिएंट और विभिन्न स्पार्कलिंगगोब्लिन टूल्स के बीच कई कोड समानताएं" पर आधारित है, शोधकर्ताओं ने कहा। साइडवॉक लिनक्स नमूनों में से एक C2 पते (66.42.103[.]222) का भी उपयोग करता है जो पहले स्पार्कलिंगगोब्लिन द्वारा उपयोग किया गया था, उन्होंने कहा।

साइडवॉक और क्रॉसवॉक बैकडोर का उपयोग करने के अलावा, स्पार्कलिंगगोब्लिन को मोटनुग और चाचा 20-आधारित लोडर को तैनात करने के लिए भी जाना जाता है, प्लगएक्स आरएटी (उर्फ कोरप्लग), और कोबाल्ट स्ट्राइक अपने हमलों में।

साइडवॉक लिनक्स की स्थापना

ईएसईटी के शोधकर्ताओं ने पहली बार जुलाई 2021 में साइडवॉक के लिनक्स संस्करण का दस्तावेजीकरण किया, इसे "स्टेज क्लाइंट" करार दिया, क्योंकि उन्होंने उस समय विंडोज के लिए स्पार्कलिंगगोब्लिन और साइडवॉक बैकडोर से संबंध नहीं बनाया था।

अंततः उन्होंने मैलवेयर को स्पेक्टर बॉटनेट द्वारा उपयोग किए जा रहे लचीले कॉन्फ़िगरेशन के साथ एक मॉड्यूलर लिनक्स बैकडोर से जोड़ा, जिसका उल्लेख किया गया था ब्लॉग पोस्ट ईएसईटी शोधकर्ताओं ने कहा, 360 नेटलैब के शोधकर्ताओं ने "सभी बायनेरिज़ में मौजूद कार्यक्षमता, बुनियादी ढांचे और प्रतीकों में एक बड़ा ओवरलैप पाया"।

"ये समानताएं हमें विश्वास दिलाती हैं कि स्पेक्टर और स्टेज क्लाइंट एक ही मैलवेयर परिवार से हैं," उन्होंने कहा। वास्तव में, दोनों साइडवॉक के सिर्फ लिनक्स विभिन्न हैं, शोधकर्ताओं ने अंततः पाया। इस कारण से, दोनों को अब छत्र शब्द साइडवॉक लिनक्स के तहत संदर्भित किया जाता है।

दरअसल, क्लाउड सेवाओं, वर्चुअल मशीन होस्ट और कंटेनर-आधारित बुनियादी ढांचे, हमलावरों के आधार के रूप में लिनक्स के लगातार उपयोग को देखते हुए तेजी से लिनक्स को लक्षित कर रहे हैं परिष्कृत कारनामों और मैलवेयर वाले वातावरण। इसने को जन्म दिया है लिनक्स मैलवेयर यह ओएस के लिए अद्वितीय है या विंडोज संस्करणों के पूरक के रूप में बनाया गया है, यह दर्शाता है कि हमलावरों को ओपन सोर्स सॉफ़्टवेयर को लक्षित करने का बढ़ता अवसर दिखाई देता है।

विंडोज संस्करण की तुलना

इसके भाग के लिए, साइडवॉक लिनक्स में मैलवेयर के विंडोज संस्करण के लिए कई समानताएं हैं, शोधकर्ताओं ने अपने पोस्ट में केवल सबसे "हड़ताली" लोगों को रेखांकित किया है, शोधकर्ताओं ने कहा।

एक स्पष्ट समानांतर चाचा 20 एन्क्रिप्शन का कार्यान्वयन है, जिसमें दोनों वेरिएंट "0x0B" के प्रारंभिक मूल्य के साथ एक काउंटर का उपयोग करते हैं - एक विशेषता जो पहले ईएसईटी शोधकर्ताओं द्वारा नोट की गई थी। उन्होंने कहा कि चाचा20 कुंजी दोनों प्रकारों में बिल्कुल समान है, दोनों के बीच संबंध को मजबूत करता है।

साइडवॉक के दोनों संस्करण विशिष्ट कार्यों को निष्पादित करने के लिए कई थ्रेड्स का भी उपयोग करते हैं। उनमें से प्रत्येक में ठीक पांच धागे हैं - स्टेज क्लाइंट :: थ्रेडनेटवर्क रिवर्स, स्टेज क्लाइंट :: थ्रेडहार्टडिटेक्ट, स्टेज क्लाइंट :: थ्रेडपोलिंग ड्रिवेन, थ्रेडबिज़एमएसजीएसएंड, और स्टेज क्लाइंट :: थ्रेडबिज़एमएसजी हैंडलर - एक साथ निष्पादित किया गया है कि प्रत्येक ईएसईटी के अनुसार पिछले दरवाजे के लिए एक विशिष्ट कार्य करता है।

दो संस्करणों के बीच एक और समानता यह है कि डेड-ड्रॉप रिज़ॉल्वर पेलोड - या एम्बेडेड डोमेन या आईपी पते के साथ वेब सेवाओं पर पोस्ट की गई प्रतिकूल सामग्री - दोनों नमूनों में समान है। शोधकर्ताओं ने कहा कि सीमांकक - एक तत्व को एक तत्व से दूसरे तत्व से अलग करने के लिए चुने गए वर्ण - दोनों संस्करणों के समान हैं, साथ ही साथ उनके डिकोडिंग एल्गोरिदम भी हैं।

शोधकर्ताओं ने साइडवॉक लिनक्स और इसके विंडोज समकक्ष के बीच महत्वपूर्ण अंतर भी पाया। एक यह है कि साइडवॉक लिनक्स वेरिएंट में, मॉड्यूल निर्मित होते हैं और C2 सर्वर से प्राप्त नहीं किए जा सकते हैं। दूसरी ओर, विंडोज संस्करण में मैलवेयर के भीतर समर्पित कार्यों द्वारा सीधे निष्पादित की गई अंतर्निहित कार्यक्षमताएं हैं। कुछ प्लग-इन साइडवॉक के विंडोज संस्करण में C2 संचार के माध्यम से भी जोड़े जा सकते हैं, शोधकर्ताओं ने कहा।

शोधकर्ताओं ने पाया कि प्रत्येक संस्करण एक अलग तरीके से रक्षा चोरी करता है। साइडवॉक का विंडोज संस्करण "अपने कोड के उद्देश्यों को छिपाने के लिए बहुत अधिक समय तक जाता है" सभी डेटा और कोड को ट्रिम करके, जो इसके निष्पादन के लिए अनावश्यक था, बाकी को एन्क्रिप्ट करना।

शोधकर्ताओं ने कहा कि लिनक्स वेरिएंट पिछले दरवाजे का पता लगाना और विश्लेषण करना "काफी आसान" है, जिसमें प्रतीकों को शामिल किया गया है और कुछ अद्वितीय प्रमाणीकरण कुंजी और अन्य कलाकृतियों को अनएन्क्रिप्टेड छोड़ दिया गया है।

"इसके अतिरिक्त, विंडोज़ संस्करण में बहुत अधिक संख्या में इनलाइन फ़ंक्शंस से पता चलता है कि इसका कोड उच्च स्तर के कंपाइलर ऑप्टिमाइज़ेशन के साथ संकलित किया गया था," उन्होंने कहा।

समय टिकट:

से अधिक डार्क रीडिंग