새로운 Linux 버전의 SideWalk 백도어가 홍콩 대학에 배포되어 해당 기관의 네트워크 환경에 대한 여러 서버 키를 손상시키는 지속적인 공격이 이루어졌습니다.
ESET의 연구원들은 공격과 백도어를 학계에 중점을 두고 주로 동아시아와 동남아시아의 조직을 대상으로 하는 APT(Advanced Persistent Threat) 그룹인 SparklingGoblin의 탓이라고 밝혔습니다. 블로그 게시물 14월 XNUMX일 발행.
APT는 또한 전 세계의 광범위한 조직 및 수직 산업에 대한 공격과 연결되어 있으며 악성 코드 무기고에서 SideWalk 및 Crosswalk 백도어를 사용하는 것으로 알려져 있습니다.
사실, 홍콩 대학에 대한 공격은 SparklingGoblin이 이 특정 기관을 표적으로 한 두 번째 공격입니다. 첫 번째는 2020년 XNUMX월 ESET 연구원들과 함께 학생 시위 중이었습니다. 먼저 Linux 변종 감지 그들은 2021년 XNUMX월 대학 네트워크에서 SideWalk를 실제로 식별하지 않고 있다고 말했습니다.
최신 공격은 처음에 Spectre 봇넷을 사용하거나 피해자의 취약한 WordPress 서버를 통해 IP 카메라 및/또는 NVR(네트워크 비디오 레코더) 및 DVR 장치의 악용으로 시작되었을 수 있는 지속적인 캠페인의 일부인 것으로 보입니다. 환경이라고 연구원들은 말했습니다.
"SparklingGoblin은 오랜 기간 동안 이 조직을 지속적으로 표적으로 삼아 인쇄 서버, 이메일 서버, 학생 일정 및 코스 등록을 관리하는 데 사용되는 서버를 포함한 여러 핵심 서버를 성공적으로 손상시켰습니다."라고 연구원이 말했습니다.
또한 360 Netlab의 연구원이 처음으로 문서화한 Spectre RAT는 ESET 연구원이 식별한 샘플 간의 여러 공통점에서 볼 수 있듯이 실제로 SideWalk Linux 변종인 것으로 보입니다.
SparklingGoblin에 대한 SideWalk 링크
보도 C2(명령 및 제어) 서버에서 보낸 추가 모듈을 동적으로 로드할 수 있는 모듈식 백도어이며 Google Docs를 Dead-Drop Resolver로 사용하며 Cloudflare를 C2 서버로 사용합니다. 또한 프록시 뒤의 통신을 적절하게 처리할 수 있습니다.
SideWalk 백도어를 담당하는 위협 그룹에 대해 연구원 간에 의견이 다릅니다. ESET이 멀웨어를 SparklingGoblin에 연결하는 동안 시만텍의 연구원 말했다 그레이플라이의 작품 (GREF 및 Wicked Panda라고도 함), 최소 2017년 XNUMX월부터 활성화된 중국 APT입니다.
ESET은 SideWalk가 "SideWalk의 Linux 변종과 다양한 SparklingGoblin 도구 사이의 다중 코드 유사성"에 기반하여 이 평가에서 "높은 신뢰도"를 기반으로 SparklingGoblin의 독점 제품이라고 믿고 있습니다. SideWalk Linux 샘플 중 하나는 이전에 SparklingGoblin에서 사용했던 C2 주소(66.42.103[.]222)도 사용한다고 덧붙였습니다.
SideWalk 및 Crosswalk 백도어를 사용하는 것 외에도 SparklingGoblin은 Motnug 및 ChaCha20 기반 로더를 배포하는 것으로도 알려져 있습니다. PlugX RAT (일명 Korplug) 및 Cobalt Strike의 공격.
SideWalk Linux의 시작
ESET 연구원은 2021년 XNUMX월에 SideWalk의 Linux 변종을 처음 문서화하여 "StageClient"라고 명명했습니다. 당시에는 Windows용 SparklingGoblin 및 SideWalk 백도어에 연결하지 않았기 때문입니다.
그들은 결국 악성코드를 Spectre 봇넷이 사용하는 유연한 구성을 갖춘 모듈식 Linux 백도어에 연결했습니다. 블로그 게시물 360 Netlab의 연구원들은 "모든 바이너리에 존재하는 기능, 인프라 및 기호가 크게 중복되는 것을 발견했습니다"라고 ESET 연구원은 말했습니다.
"이러한 유사성은 Spectre와 StageClient가 동일한 맬웨어 계열에 속한다는 것을 확신시켜줍니다."라고 덧붙였습니다. 사실, 둘 다 SideWalk의 다양한 Linux일 뿐이라고 연구원들은 결국 발견했습니다. 이러한 이유로 둘 다 이제 SideWalk Linux라는 포괄적인 용어로 언급됩니다.
실제로 클라우드 서비스, 가상 머신 호스트 및 컨테이너 기반 인프라의 기반으로 Linux를 자주 사용한다는 점을 감안할 때 공격자는 Linux를 점점 더 타겟으로 하고 있습니다. 정교한 익스플로잇과 맬웨어가 있는 환경. 이것은 리눅스 악성코드 이는 OS에 고유하거나 Windows 버전을 보완하기 위해 구축되어 공격자가 오픈 소스 소프트웨어를 표적으로 삼을 기회가 증가하고 있음을 보여줍니다.
Windows 버전과의 비교
SideWalk Linux는 Windows 버전의 맬웨어와 많은 유사점이 있으며 연구원들은 게시물에서 가장 "눈에 띄는" 것만 간략히 설명합니다.
한 가지 분명한 유사점은 ChaCha20 암호화의 구현으로, 두 변종 모두 초기 값이 "0x0B"인 카운터를 사용합니다. 이는 이전에 ESET 연구원이 언급한 특성입니다. ChaCha20 키는 두 변형에서 정확히 동일하여 둘 사이의 연결을 강화한다고 덧붙였습니다.
SideWalk의 두 버전 모두 여러 스레드를 사용하여 특정 작업을 실행합니다. ESET에 따르면 각각은 정확히 XNUMX개의 스레드(StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend 및 StageClient::ThreadBizMsgHandler)를 가지고 동시에 실행되어 각각이 백도어에 고유한 특정 기능을 수행합니다.
두 버전 간의 또 다른 유사점은 데드 드롭 리졸버 페이로드(또는 임베디드 도메인 또는 IP 주소를 사용하여 웹 서비스에 게시된 적대적 콘텐츠)가 두 샘플에서 동일하다는 것입니다. 연구원들은 두 버전의 구분 기호(문자열의 한 요소를 다른 요소와 분리하기 위해 선택된 문자)와 디코딩 알고리즘이 동일하다고 말했습니다.
연구원들은 또한 SideWalk Linux와 Windows 대응 간의 주요 차이점을 발견했습니다. 하나는 SideWalk Linux 변형에서 모듈이 내장되어 있으며 C2 서버에서 가져올 수 없다는 것입니다. 반면에 Windows 버전에는 악성코드 내 전용 기능에 의해 직접 실행되는 기능이 내장되어 있습니다. 연구원들은 Windows 버전의 SideWalk에서 C2 통신을 통해 일부 플러그인을 추가할 수도 있다고 말했습니다.
연구원들은 각 버전이 다른 방식으로 방어 회피를 수행한다는 것을 발견했습니다. SideWalk의 Windows 변종은 실행에 불필요한 모든 데이터와 코드를 잘라내고 나머지는 암호화하여 "코드의 목적을 숨기기 위해 많은 노력을 기울였습니다."
Linux 변종은 기호를 포함하고 일부 고유한 인증 키 및 기타 아티팩트를 암호화하지 않은 상태로 남겨둠으로써 백도어의 탐지 및 분석을 "상당히 쉽게" 만듭니다.
“또한 Windows 변종에서 훨씬 더 많은 수의 인라인 함수는 해당 코드가 더 높은 수준의 컴파일러 최적화로 컴파일되었음을 나타냅니다.”라고 덧붙였습니다.
