Versi Linux baru dari pintu belakang SideWalk telah dikerahkan terhadap universitas Hong Kong dalam serangan terus-menerus yang membahayakan beberapa server kunci ke lingkungan jaringan institusi.
Para peneliti dari ESET mengaitkan serangan dan pintu belakang itu dengan SparklingGoblin, kelompok ancaman persisten tingkat lanjut (APT) yang menargetkan sebagian besar organisasi di Asia Timur dan Tenggara, dengan fokus pada sektor akademik, kata mereka dalam sebuah posting blog diterbitkan 14 September.
APT juga telah dikaitkan dengan serangan terhadap berbagai organisasi dan industri vertikal di seluruh dunia, dan dikenal karena menggunakan pintu belakang SideWalk dan Crosswalk dalam gudang malwarenya, kata para peneliti.
Faktanya, serangan terhadap universitas Hong Kong adalah kedua kalinya SparklingGoblin menargetkan institusi khusus ini; yang pertama pada Mei 2020 selama protes mahasiswa, dengan peneliti ESET pertama kali mendeteksi varian Linux SideWalk di jaringan universitas pada Februari 2021 tanpa benar-benar mengidentifikasinya, kata mereka.
Serangan terbaru tampaknya menjadi bagian dari kampanye berkelanjutan yang awalnya mungkin dimulai dengan eksploitasi baik kamera IP dan/atau perekam video jaringan (NVR) dan perangkat DVR, menggunakan botnet Spectre atau melalui server WordPress yang rentan yang ditemukan di komputer korban. lingkungan, kata peneliti.
“SparklingGoblin terus menargetkan organisasi ini dalam jangka waktu yang lama, berhasil mengkompromikan beberapa server utama, termasuk server cetak, server email, dan server yang digunakan untuk mengelola jadwal siswa dan pendaftaran kursus,” kata para peneliti.
Selain itu, sekarang tampaknya Spectre RAT, yang pertama kali didokumentasikan oleh para peneliti di 360 Netlab, sebenarnya adalah varian SideWalk Linux, seperti yang ditunjukkan oleh banyak kesamaan antara sampel yang diidentifikasi oleh para peneliti ESET, kata mereka.
Tautan SideWalk ke SparklingGoblin
Trotoar adalah pintu belakang modular yang secara dinamis dapat memuat modul tambahan yang dikirim dari server command-and-control (C2), menggunakan Google Documents sebagai resolver dead-drop, dan menggunakan Cloudflare sebagai server C2. Itu juga dapat menangani komunikasi di belakang proxy dengan benar.
Ada perbedaan pendapat di antara para peneliti mengenai kelompok ancaman mana yang bertanggung jawab atas pintu belakang SideWalk. Sementara ESET menautkan malware ke SparklingGoblin, peneliti di Symantec mengatakan itu karya Grayfly (alias GREF dan Wicked Panda), APT Cina yang aktif setidaknya sejak Maret 2017.
ESET percaya bahwa SideWalk eksklusif untuk SparklingGoblin, mendasarkan "kepercayaan tinggi" dalam penilaian ini pada "beberapa kesamaan kode antara varian Linux SideWalk dan berbagai alat SparklingGoblin," kata para peneliti. Salah satu sampel SideWalk Linux juga menggunakan alamat C2 (66.42.103[.]222) yang sebelumnya digunakan oleh SparklingGoblin, tambah mereka.
Selain menggunakan backdoor SideWalk dan Crosswalk, SparklingGoblin juga dikenal karena menggunakan loader berbasis Motnug dan ChaCha20, RAT PlugX (alias Korplug), dan Cobalt Strike dalam serangannya.
Lahirnya SideWalk Linux
Peneliti ESET pertama kali mendokumentasikan varian Linux dari SideWalk pada Juli 2021, menjulukinya “StageClient” karena pada saat itu mereka tidak membuat koneksi ke SparklingGoblin dan backdoor SideWalk untuk Windows.
Mereka akhirnya menghubungkan malware tersebut ke pintu belakang Linux modular dengan konfigurasi fleksibel yang digunakan oleh botnet Spectre seperti yang disebutkan dalam a posting blog by researchers at 360 Netlab, finding “a huge overlap in functionality, infrastructure, and symbols present in all the binaries,” the ESET researchers said.
“Kesamaan ini meyakinkan kami bahwa Spectre dan StageClient berasal dari keluarga malware yang sama,” tambah mereka. Faktanya, keduanya hanyalah Linux dari berbagai SideWalk, para peneliti akhirnya menemukan. Untuk alasan ini, keduanya sekarang disebut di bawah payung istilah SideWalk Linux.
Memang, mengingat seringnya penggunaan Linux sebagai dasar untuk layanan cloud, host mesin virtual, dan infrastruktur berbasis wadah, penyerang semakin menargetkan Linux lingkungan dengan eksploitasi canggih dan malware. Hal ini menimbulkan Malware Linux yang unik untuk OS atau dibuat sebagai pelengkap versi Windows, menunjukkan bahwa penyerang melihat peluang yang berkembang untuk menargetkan perangkat lunak sumber terbuka.
Perbandingan dengan Versi Windows
Untuk bagiannya, SideWalk Linux memiliki banyak kesamaan dengan versi Windows dari malware, dengan para peneliti menguraikan hanya yang paling "mencolok" di pos mereka, kata para peneliti.
Satu paralel yang jelas adalah implementasi enkripsi ChaCha20, dengan kedua varian menggunakan penghitung dengan nilai awal “0x0B” — karakteristik yang sebelumnya dicatat oleh peneliti ESET. Kunci ChaCha20 persis sama di kedua varian, memperkuat koneksi di antara keduanya, tambah mereka.
Kedua versi SideWalk juga menggunakan banyak utas untuk menjalankan tugas tertentu. Mereka masing-masing memiliki tepat lima utas — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend, dan StageClient::ThreadBizMsgHandler — dieksekusi secara bersamaan sehingga masing-masing melakukan fungsi spesifik intrinsik ke backdoor, menurut ESET.
Kesamaan lain antara kedua versi adalah bahwa muatan resolver dead-drop — atau konten permusuhan yang diposting di layanan Web dengan domain atau alamat IP yang disematkan — identik di kedua sampel. Pembatas - karakter yang dipilih untuk memisahkan satu elemen dalam string dari elemen lain - dari kedua versi juga identik, serta algoritma decoding mereka, kata para peneliti.
Para peneliti juga menemukan perbedaan utama antara SideWalk Linux dan rekan Windows-nya. Salah satunya adalah bahwa dalam varian SideWalk Linux, modul sudah ada di dalamnya dan tidak dapat diambil dari server C2. Versi Windows, di sisi lain, memiliki fungsi bawaan yang dijalankan langsung oleh fungsi khusus di dalam malware. Beberapa plug-in juga dapat ditambahkan melalui komunikasi C2 di SideWalk versi Windows, kata para peneliti.
Setiap versi melakukan penghindaran pertahanan dengan cara yang berbeda juga, para peneliti menemukan. Varian Windows dari SideWalk "berusaha keras untuk menyembunyikan tujuan kodenya" dengan memangkas semua data dan kode yang tidak perlu untuk eksekusinya, mengenkripsi sisanya.
Varian Linux membuat deteksi dan analisis pintu belakang “secara signifikan lebih mudah” dengan memuat simbol dan membiarkan beberapa kunci otentikasi unik dan artefak lainnya tidak terenkripsi, kata para peneliti.
“Selain itu, jumlah fungsi inline yang jauh lebih tinggi dalam varian Windows menunjukkan bahwa kodenya dikompilasi dengan tingkat optimasi kompiler yang lebih tinggi,” tambah mereka.
