A new Linux version of the SideWalk backdoor has been deployed against a Hong Kong university in a persistent attack that’s compromised multiple servers key to the institution’s network environment.
Az ESET kutatói a támadást és a hátsó ajtót a SparklingGoblinnak, egy fejlett tartós fenyegetés (APT) csoportnak tulajdonították, amely főként kelet- és délkelet-ázsiai szervezeteket céloz meg, elsősorban az akadémiai szektorra összpontosítva. blogbejegyzés szeptember 14-én jelent meg.
Az APT-t a világ számos szervezete és vertikális iparága elleni támadásokkal is összefüggésbe hozták, és arról ismert, hogy a SideWalk és a Crosswalk hátsó ajtókat használja a rosszindulatú programok arzenáljában, mondták a kutatók.
Valójában a hongkongi egyetem elleni támadás a második alkalom, hogy SparklingGoblin célba vette ezt az intézményt; az elsőt 2020 májusában, hallgatói tiltakozások idején, az ESET kutatóival először a Linux-változat észlelése of SideWalk in the university’s network in February 2021 without actually identifying it as such, they said.
The latest attack appears to be part of a continuous campaign that initially may have started with the exploitation either of IP cameras and/or network video recorder (NVR) and DVR devices, using the Specter botnet or through a vulnerable WordPress server found in the victim’s environment, researchers said.
“SparklingGoblin has continuously targeted this organization over a long period of time, successfully compromising multiple key servers, including a print server, an email server, and a server used to manage student schedules and course registrations,” researchers said.
Sőt, most úgy tűnik, hogy a Spectre RAT, amelyet először a 360 Netlab kutatói dokumentáltak, valójában egy SideWalk Linux-változat, amint azt az ESET kutatói által azonosított minta több közös vonása is mutatja.
SideWalk linkek a SparklingGoblinhoz
Járda egy moduláris hátsó ajtó, amely dinamikusan képes betölteni a parancs- és vezérlőszerveréről (C2) küldött további modulokat, a Google Docsot használja feloldóként, és a Cloudflare-t használja C2-szerverként. A proxy mögötti kommunikációt is megfelelően tudja kezelni.
A kutatók között megoszlanak a vélemények arról, hogy melyik fenyegetettségi csoport felelős a SideWalk hátsó ajtóért. Míg az ESET a rosszindulatú programot a SparklingGoblinhoz kapcsolja, a Symantec kutatói azt mondta, hogy az Grayfly munkája (más néven GREF és Wicked Panda), egy kínai APT, amely legalább 2017 márciusa óta aktív.
ESET believes that SideWalk is exclusive to SparklingGoblin, basing its “high confidence” in this assessment on “multiple code similarities between the Linux variants of SideWalk and various SparklingGoblin tools,” researchers said. One of the SideWalk Linux samples also uses a C2 address (66.42.103[.]222) that was previously used by SparklingGoblin, they added.
A SideWalk és Crosswalk hátsó ajtók használata mellett a SparklingGoblin a Motnug és ChaCha20 alapú rakodók telepítéséről is ismert, a PlugX RAT (aka Korplug), és Cobalt Strike támadásaiban.
A SideWalk Linux kezdete
ESET researchers first documented the Linux variant of SideWalk in July 2021, dubbing it “StageClient” because they did not at the time make the connection to SparklingGoblin and the SideWalk backdoor for Windows.
Végül összekapcsolták a rosszindulatú programot egy moduláris Linux-hátsóajtóval, rugalmas konfigurációval, amelyet a Spectre botnet használ, amelyet egy blogbejegyzés by researchers at 360 Netlab, finding “a huge overlap in functionality, infrastructure, and symbols present in all the binaries,” the ESET researchers said.
“These similarities convince us that Specter and StageClient are from the same malware family,” they added. In fact, both are just Linux various of SideWalk, researchers eventually found. For this reason, both are now referred to under the umbrella term SideWalk Linux.
Valójában, mivel a Linuxot gyakran használják felhőszolgáltatások, virtuálisgép-gazdagépek és konténer-alapú infrastruktúra alapjaként, a támadók egyre inkább a Linuxot célozzák meg kifinomult kihasználásokkal és rosszindulatú programokkal rendelkező környezetek. Ez adott okot Linux malware that’s both unique to the OS or built as a complement to Windows versions, demonstrating that attackers see a growing opportunity to target the open source software.
Összehasonlítás a Windows verzióval
For its part, SideWalk Linux has numerous similarities to the Windows version of the malware, with researchers outlining only the most “striking” ones in their post, researchers said.
One obvious parallel is the implementations of ChaCha20 encryption, with both variants using a counter with an initial value of “0x0B” — a characteristic previously noted by ESET researchers. The ChaCha20 key is exactly the same in both variants, strengthening the connection between the two, they added.
A SideWalk mindkét verziója több szálat is használ meghatározott feladatok végrehajtásához. Mindegyiknek pontosan öt szála van – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend és StageClient::ThreadBizMsgHandler –, amelyek mindegyike egy adott funkciót hajt végre a backSET-ben, vagy egyidejűleg hajt végre a backSET-hez.
Egy másik hasonlóság a két verzió között, hogy a holtpont-feloldó hasznos terhelése – vagy a beágyazott tartományokkal vagy IP-címekkel rendelkező webszolgáltatásokon közzétett ellenséges tartalom – mindkét mintában azonos. A kutatók elmondása szerint a két verzió elválasztó jelei – a karakterlánc egyik elemének egy másik elemtől való elválasztására választott karakterek – szintén azonosak, csakúgy, mint a dekódoló algoritmusaik.
A kutatók kulcsfontosságú különbségeket is találtak a SideWalk Linux és a Windows megfelelője között. Az egyik az, hogy a SideWalk Linux változataiban a modulok be vannak építve, és nem tölthetők le a C2 szerverről. A Windows verzió viszont beépített funkciókkal rendelkezik, amelyeket közvetlenül a rosszindulatú programon belüli dedikált funkciók hajtanak végre. A kutatók szerint egyes beépülő modulok a SideWalk Windows-verziójában C2-kommunikáción keresztül is hozzáadhatók.
Each version performs defense evasion in a different way as well, researchers found. The Windows variant of SideWalk “goes to great lengths to conceal the objectives of its code” by trimming out all data and code that was unnecessary for its execution, encrypting the rest.
The Linux variants make detection and analysis of the backdoor “significantly easier” by containing symbols and leaving some unique authentication keys and other artifacts unencrypted, researchers said.
“Additionally, the much higher number of inlined functions in the Windows variant suggests that its code was compiled with a higher level of compiler optimizations,” they added.
