Una nuova versione Linux della backdoor SideWalk è stata implementata contro un'università di Hong Kong in un attacco persistente che ha compromesso più server chiave per l'ambiente di rete dell'istituto.
I ricercatori di ESET hanno attribuito l'attacco e la backdoor a SparklingGoblin, un gruppo APT (Advanced Persistent Threat) che prende di mira organizzazioni principalmente nell'Asia orientale e sud-orientale, con particolare attenzione al settore accademico, hanno affermato in un articolo. post sul blog pubblicato il 14 settembre.
L'APT è stato anche collegato ad attacchi contro un'ampia gamma di organizzazioni e settori verticali in tutto il mondo ed è noto per l'utilizzo delle backdoor SideWalk e Crosswalk nel suo arsenale di malware, hanno affermato i ricercatori.
In effetti, l'attacco all'università di Hong Kong è la seconda volta che SparklingGoblin prende di mira questa particolare istituzione; il primo è stato nel maggio 2020 durante le proteste studentesche, con i ricercatori ESET prima rilevando la variante Linux di SideWalk nella rete dell'università nel febbraio 2021 senza effettivamente identificarlo come tale, hanno affermato.
L'ultimo attacco sembra far parte di una campagna continua che inizialmente potrebbe essere iniziata con lo sfruttamento di telecamere IP e/o registratori video di rete (NVR) e dispositivi DVR, utilizzando la botnet Spectre o attraverso un server WordPress vulnerabile trovato nel sito della vittima. ambiente, hanno detto i ricercatori.
"SparklingGoblin ha continuamente preso di mira questa organizzazione per un lungo periodo di tempo, compromettendo con successo diversi server chiave, tra cui un server di stampa, un server di posta elettronica e un server utilizzato per gestire gli orari degli studenti e le registrazioni ai corsi", hanno affermato i ricercatori.
Inoltre, ora sembra che lo Spectre RAT, documentato per la prima volta dai ricercatori di 360 Netlab, sia in realtà una variante di SideWalk Linux, come dimostrato dai molteplici punti in comune tra il campione identificato dai ricercatori di ESET, hanno affermato.
Collegamenti SideWalk a SparklingGoblin
Marciapiede è una backdoor modulare che può caricare dinamicamente moduli aggiuntivi inviati dal suo server di comando e controllo (C2), utilizza Google Docs come risolutore dead-drop e utilizza Cloudflare come server C2. Può anche gestire correttamente la comunicazione dietro un proxy.
I ricercatori hanno opinioni divergenti su quale gruppo di minacce sia responsabile della backdoor SideWalk. Anche se ESET collega il malware a SparklingGoblin, ricercatori di Symantec detto che lo è il lavoro di Grayfly (aka GREF e Wicked Panda), APT cinese attiva almeno da marzo 2017.
ESET ritiene che SideWalk sia un'esclusiva di SparklingGoblin, basando la sua "elevata fiducia" in questa valutazione su "molteplici somiglianze di codice tra le varianti Linux di SideWalk e vari strumenti SparklingGoblin", hanno affermato i ricercatori. Uno degli esempi di SideWalk Linux utilizza anche un indirizzo C2 (66.42.103[.]222) precedentemente utilizzato da SparklingGoblin, hanno aggiunto.
Oltre a utilizzare le backdoor SideWalk e Crosswalk, SparklingGoblin è noto anche per l'implementazione di caricatori basati su Motnug e ChaCha20, il PlugX RAT (alias Korplug) e Cobalt Strike nei suoi attacchi.
Nascita di SideWalk Linux
I ricercatori ESET hanno documentato per la prima volta la variante Linux di SideWalk nel luglio 2021, soprannominandola "StageClient" perché all'epoca non stabilivano la connessione a SparklingGoblin e alla backdoor SideWalk per Windows.
Alla fine hanno collegato il malware a una backdoor Linux modulare con configurazione flessibile utilizzata dalla botnet Spectre menzionata in a post sul blog dai ricercatori di 360 Netlab, trovando "un'enorme sovrapposizione di funzionalità, infrastruttura e simboli presenti in tutti i file binari", hanno affermato i ricercatori di ESET.
"Queste somiglianze ci convincono che Spectre e StageClient appartengono alla stessa famiglia di malware", hanno aggiunto. In effetti, entrambi sono semplicemente versioni Linux di SideWalk, come hanno scoperto i ricercatori. Per questo motivo entrambi vengono ora indicati con il termine generico SideWalk Linux.
In effetti, dato l’uso frequente di Linux come base per servizi cloud, host di macchine virtuali e infrastrutture basate su container, gli aggressori stanno prendendo sempre più di mira Linux ambienti con exploit sofisticati e malware. Ciò ha dato luogo a Malware Linux questo è unico per il sistema operativo o creato come complemento alle versioni di Windows, a dimostrazione che gli aggressori vedono una crescente opportunità di prendere di mira il software open source.
Confronto con la versione di Windows
Da parte sua, SideWalk Linux presenta numerose somiglianze con la versione Windows del malware, e i ricercatori hanno descritto solo quelle più “eclatanti” nel loro post, hanno detto i ricercatori.
Un ovvio parallelo è rappresentato dalle implementazioni della crittografia ChaCha20, con entrambe le varianti che utilizzano un contatore con un valore iniziale di “0x0B” – una caratteristica precedentemente notata dai ricercatori ESET. La chiave ChaCha20 è esattamente la stessa in entrambe le varianti, rafforzando la connessione tra i due, hanno aggiunto.
Entrambe le versioni di SideWalk utilizzano anche più thread per eseguire attività specifiche. Ognuno di essi ha esattamente cinque thread - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend e StageClient::ThreadBizMsgHandler - eseguiti simultaneamente e ciascuno esegue una funzione specifica intrinseca alla backdoor, secondo ESET.
Un'altra somiglianza tra le due versioni è che il payload del risolutore dead-drop, ovvero il contenuto antagonista pubblicato su servizi Web con domini o indirizzi IP incorporati, è identico in entrambi gli esempi. Anche i delimitatori – caratteri scelti per separare un elemento in una stringa da un altro elemento – di entrambe le versioni sono identici, così come i loro algoritmi di decodifica, hanno detto i ricercatori.
I ricercatori hanno anche riscontrato differenze fondamentali tra SideWalk Linux e la sua controparte Windows. Il primo è che nelle varianti SideWalk Linux i moduli sono integrati e non possono essere recuperati dal server C2. La versione Windows, invece, dispone di funzionalità integrate eseguite direttamente da funzioni dedicate all'interno del malware. Alcuni plug-in possono anche essere aggiunti tramite le comunicazioni C2 nella versione Windows di SideWalk, hanno affermato i ricercatori.
Ogni versione esegue anche l’evasione della difesa in modo diverso, hanno scoperto i ricercatori. La variante Windows di SideWalk "fa di tutto per nascondere gli obiettivi del suo codice" eliminando tutti i dati e il codice non necessari per la sua esecuzione e crittografando il resto.
Le varianti di Linux rendono il rilevamento e l’analisi della backdoor “molto più semplice” contenendo simboli e lasciando alcune chiavi di autenticazione univoche e altri artefatti non crittografati, hanno affermato i ricercatori.
"Inoltre, il numero molto più elevato di funzioni integrate nella variante Windows suggerisce che il suo codice è stato compilato con un livello più elevato di ottimizzazione del compilatore", hanno aggiunto.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
