SideWalk バックドアの新しい Linux バージョンが、香港の大学に対して展開され、大学のネットワーク環境の鍵となる複数のサーバーを侵害する持続的な攻撃が行われました。
ESET の研究者は、この攻撃とバックドアが SparklingGoblin によるものであると考えています。SparklingGoblin は、主に東アジアと東南アジアの組織を標的とし、学術分野に焦点を当てている APT (Advanced Persistent Threat) グループです。 ブログ投稿 14 月 XNUMX 日に公開されました。
APT はまた、世界中の幅広い組織や垂直産業への攻撃に関連しており、マルウェアの武器庫で SideWalk および Crosswalk バックドアを使用することで知られている、と研究者は述べています。
実際、香港の大学への攻撃は、SparklingGoblin がこの特定の機関を標的にした 2020 回目です。 XNUMX 回目は XNUMX 年 XNUMX 月の学生の抗議行動で、ESET の研究者が参加しました。 最初の Linux バリアントの検出 2021 年 XNUMX 月に大学のネットワークで SideWalk を実際に識別せずに、
最新の攻撃は、Spectre ボットネットを使用するか、被害者の PC で見つかった脆弱な WordPress サーバーを介して、IP カメラおよび/またはネットワーク ビデオ レコーダー (NVR) および DVR デバイスのいずれかを悪用することから始まった可能性がある継続的なキャンペーンの一部であるように思われます。環境、研究者は言った。
「SparklingGoblin は、この組織を長期にわたって継続的に標的にし、印刷サーバー、電子メール サーバー、学生のスケジュールやコース登録の管理に使用されるサーバーなど、複数の主要サーバーを侵害することに成功しました」と研究者は述べています。
さらに、360 Netlab の研究者によって最初に文書化された Spectre RAT は、ESET の研究者によって特定されたサンプル間に複数の共通点があることから、実際には SideWalk Linux の亜種であることが明らかになりました。
SparklingGoblin への SideWalk リンク
歩道 コマンド アンド コントロール (C2) サーバーから送信された追加モジュールを動的にロードできるモジュラー バックドアであり、Google ドキュメントをデッド ドロップ リゾルバーとして使用し、Cloudflare を C2 サーバーとして使用します。 また、プロキシの背後にある通信も適切に処理できます。
どの脅威グループが SideWalk バックドアに関与しているかについては、研究者の間で意見が分かれています。 ESET はマルウェアを SparklingGoblin にリンクしますが、 シマンテックの研究者 と言った グレイフライの作品 (別名 GREF および Wicked Panda) は、少なくとも 2017 年 XNUMX 月から活動している中国の APT です。
ESET は、SideWalk は SparklingGoblin 専用であると考えており、この評価の「高い信頼度」は、「SideWalk の Linux バリアントとさまざまな SparklingGoblin ツールとの間の複数のコードの類似性」に基づいていると研究者は述べています。 SideWalk Linux サンプルの 2 つは、SparklingGoblin が以前に使用していた C66.42.103 アドレス (222[.]XNUMX) も使用していると、彼らは付け加えました。
SideWalk および Crosswalk バックドアを使用することに加えて、SparklingGoblin は Motnug および ChaCha20 ベースのローダーを展開することでも知られています。 PlugX RAT (別名Korplug)、およびその攻撃におけるCobalt Strike。
SideWalk Linuxの始まり
ESET の研究者は、2021 年 XNUMX 月に SideWalk の Linux 版を最初に文書化し、それを「StageClient」と呼んでいました。これは、当時、SparklingGoblin および Windows 用の SideWalk バックドアへの接続を確立していなかったためです。
彼らは最終的にマルウェアをモジュール式の Linux バックドアにリンクし、柔軟な構成が Spectre ボットネットで使用されていました。 ブログ投稿 360 Netlab の研究者は、「すべてのバイナリに存在する機能、インフラストラクチャ、およびシンボルに大きな重複がある」ことを発見したと、ESET の研究者は述べています。
「これらの類似点から、Spectre と StageClient は同じマルウェア ファミリに属していると確信できます」と彼らは付け加えました。 実際、どちらも Linux 版の SideWalk にすぎないことが、研究者の最終的な発見によって明らかになりました。 このため、現在ではどちらも SideWalk Linux という包括的な用語で呼ばれています。
実際、クラウド サービス、仮想マシン ホスト、およびコンテナー ベースのインフラストラクチャの基盤として Linux が頻繁に使用されていることを考えると、攻撃者は ますますLinuxをターゲットにしています 高度なエクスプロイトとマルウェアが存在する環境。 これにより、 Linuxマルウェア これは、OS に固有のものでも、Windows バージョンを補完するものとして構築されたものでもあり、攻撃者がオープン ソース ソフトウェアを標的にする機会が増えていることを示しています。
Windows版との比較
研究者によると、SideWalk Linux は Windows バージョンのマルウェアと多くの類似点があり、研究者は投稿で最も「印象的な」ものだけを概説しています。
明らかな類似点の 20 つは、ChaCha0 暗号化の実装です。どちらの亜種も、初期値が「0x20B」のカウンターを使用しています。これは、ESET の研究者が以前に指摘した特徴です。 ChaChaXNUMX キーは両方の亜種でまったく同じであり、XNUMX つの間の接続を強化していると彼らは付け加えました。
どちらのバージョンの SideWalk も、複数のスレッドを使用して特定のタスクを実行します。 ESET によると、それらにはそれぞれ正確に XNUMX つのスレッド (StageClient::ThreadNetworkReverse、StageClient::ThreadHeartDetect、StageClient::ThreadPollingDriven、ThreadBizMsgSend、および StageClient::ThreadBizMsgHandler) が同時に実行され、それぞれがバックドア固有の特定の機能を実行します。
XNUMX つのバージョンのもう XNUMX つの類似点は、デッドドロップ リゾルバ ペイロード (ドメインまたは IP アドレスが埋め込まれた Web サービスに投稿された敵対的コンテンツ) が両方のサンプルで同一であることです。 区切り文字 (文字列内の XNUMX つの要素を別の要素から分離するために選択された文字) も両方のバージョンで同一であり、それらのデコード アルゴリズムも同じである、と研究者は述べています。
研究者はまた、SideWalk Linux と Windows 版との重要な違いを発見しました。 2 つは、SideWalk Linux バリアントではモジュールが組み込まれており、C2 サーバーから取得できないことです。 一方、Windows バージョンには、マルウェア内の専用機能によって直接実行される機能が組み込まれています。 一部のプラグインは、CXNUMX 通信を介して Windows バージョンの SideWalk に追加することもできると、研究者は述べています。
研究者は、各バージョンが異なる方法で防御回避を実行することも発見しました。 SideWalk の Windows 版は、実行に不要なすべてのデータとコードを削除し、残りを暗号化することで、「コードの目的を隠蔽するためにあらゆる手段を尽くします」。
Linux の亜種は、シンボルを含み、いくつかの一意の認証キーやその他のアーティファクトを暗号化しないままにすることで、バックドアの検出と分析を「大幅に容易にする」と研究者は述べています。
「さらに、Windows バリアントのインライン化された関数の数がはるかに多いことは、そのコードがより高いレベルのコンパイラ最適化でコンパイルされたことを示唆しています」と彼らは付け加えました。
