Een nieuwe Linux-versie van de SideWalk-achterdeur is ingezet tegen een universiteit in Hong Kong in een aanhoudende aanval die meerdere servers heeft aangetast die de sleutel tot de netwerkomgeving van de instelling zijn.
Onderzoekers van ESET schreven de aanval en de achterdeur toe aan SparklingGoblin, een Advanced Persistent Threat (APT)-groep die zich richt op organisaties, voornamelijk in Oost- en Zuidoost-Azië, met een focus op de academische sector, zeiden ze in een blogpost gepubliceerd op 14 september.
De APT is ook in verband gebracht met aanvallen op een breed scala aan organisaties en verticale industrieën over de hele wereld, en staat bekend om het gebruik van de SideWalk- en Crosswalk-backdoors in zijn arsenaal aan malware, aldus onderzoekers.
In feite is de aanval op de universiteit van Hong Kong de tweede keer dat SparklingGoblin zich op deze specifieke instelling heeft gericht; de eerste was in mei 2020 tijdens studentenprotesten, met ESET-onderzoekers eerst de Linux-variant detecteren van SideWalk in het netwerk van de universiteit in februari 2021 zonder het echt als zodanig te identificeren, zeiden ze.
De laatste aanval lijkt deel uit te maken van een voortdurende campagne die aanvankelijk mogelijk is begonnen met de exploitatie van IP-camera's en/of netwerkvideorecorders (NVR) en DVR-apparaten, met behulp van het Spectre-botnet of via een kwetsbare WordPress-server die is gevonden in de omgeving, aldus onderzoekers.
"SparklingGoblin heeft deze organisatie gedurende een lange periode voortdurend als doelwit genomen en heeft met succes meerdere sleutelservers gecompromitteerd, waaronder een printserver, een e-mailserver en een server die wordt gebruikt om studentenroosters en cursusregistraties te beheren", aldus onderzoekers.
Bovendien lijkt het er nu op dat de Spectre RAT, voor het eerst gedocumenteerd door onderzoekers van 360 Netlab, eigenlijk een SideWalk Linux-variant is, zoals blijkt uit meerdere overeenkomsten tussen de steekproef die door ESET-onderzoekers is geïdentificeerd, zeiden ze.
SideWalk Links naar SparklingGoblin
Stoep is een modulaire achterdeur die dynamisch extra modules kan laden die worden verzonden vanaf de command-and-control (C2) -server, gebruik maakt van Google Docs als een dead-drop resolver en Cloudflare gebruikt als een C2-server. Het kan ook de communicatie achter een proxy goed afhandelen.
Er zijn verschillende meningen onder onderzoekers over welke dreigingsgroep verantwoordelijk is voor de SideWalk-achterdeur. Terwijl ESET de malware koppelt aan SparklingGoblin, onderzoekers bij Symantec zei dat het is het werk van Grayfly (ook bekend als GREF en Wicked Panda), een Chinese APT die ten minste sinds maart 2017 actief is.
ESET is van mening dat SideWalk exclusief is voor SparklingGoblin, en baseert zijn "grote vertrouwen" in deze beoordeling op "meerdere codeovereenkomsten tussen de Linux-varianten van SideWalk en verschillende SparklingGoblin-tools", aldus onderzoekers. Een van de SideWalk Linux-samples gebruikt ook een C2-adres (66.42.103[.]222) dat eerder werd gebruikt door SparklingGoblin, voegde ze eraan toe.
Naast het gebruik van de SideWalk en Crosswalk backdoors, staat SparklingGoblin ook bekend om het inzetten van op Motnug en ChaCha20 gebaseerde laders, de PlugX RAT (ook bekend als Korplug) en Cobalt Strike in zijn aanvallen.
Begin van SideWalk Linux
ESET-onderzoekers documenteerden voor het eerst de Linux-variant van SideWalk in juli 2021 en noemden het "StageClient" omdat ze op dat moment geen verbinding maakten met SparklingGoblin en de SideWalk-backdoor voor Windows.
Uiteindelijk koppelden ze de malware aan een modulaire Linux-achterdeur met flexibele configuratie die werd gebruikt door het Spectre-botnet dat werd genoemd in a blogpost door onderzoekers van 360 Netlab, waarbij ze “een enorme overlap in functionaliteit, infrastructuur en symbolen vonden die aanwezig zijn in alle binaire bestanden”, aldus de ESET-onderzoekers.
"Deze overeenkomsten overtuigen ons ervan dat Spectre en StageClient uit dezelfde malwarefamilie komen", voegde ze eraan toe. In feite zijn beide gewoon Linux, verschillende van SideWalk, ontdekten onderzoekers uiteindelijk. Om deze reden worden beide nu aangeduid onder de overkoepelende term SideWalk Linux.
Inderdaad, gezien het veelvuldige gebruik van Linux als basis voor cloudservices, hosts voor virtuele machines en op containers gebaseerde infrastructuur, kunnen aanvallers richten zich steeds meer op Linux omgevingen met geavanceerde exploits en malware. Dit heeft geleid tot Linux-malware dat is zowel uniek voor het besturingssysteem als gebouwd als aanvulling op Windows-versies, wat aantoont dat aanvallers een steeds grotere kans zien om zich op de open source-software te richten.
Vergelijking met Windows-versie
SideWalk Linux heeft van zijn kant tal van overeenkomsten met de Windows-versie van de malware, waarbij onderzoekers alleen de meest "opvallende" in hun post schetsten, aldus onderzoekers.
Een voor de hand liggende parallel is de implementatie van ChaCha20-codering, waarbij beide varianten een teller gebruiken met een beginwaarde van "0x0B" - een kenmerk dat eerder door ESET-onderzoekers werd opgemerkt. De ChaCha20-sleutel is in beide varianten precies hetzelfde, wat de verbinding tussen de twee versterkt, voegde ze eraan toe.
Beide versies van SideWalk gebruiken ook meerdere threads om specifieke taken uit te voeren. Ze hebben elk precies vijf threads - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend en StageClient::ThreadBizMsgHandler - die tegelijkertijd worden uitgevoerd en elk een specifieke functie uitvoeren die intrinsiek is aan de achterdeur, volgens ESET.
Een andere overeenkomst tussen de twee versies is dat de payload van de dead-drop resolver - of vijandige inhoud die op webservices wordt gepost met ingesloten domeinen of IP-adressen - in beide voorbeelden identiek is. De scheidingstekens - tekens die zijn gekozen om een element in een string van een ander element te scheiden - van beide versies zijn ook identiek, evenals hun decoderingsalgoritmen, aldus onderzoekers.
Onderzoekers vonden ook belangrijke verschillen tussen SideWalk Linux en zijn Windows-tegenhanger. Een daarvan is dat in SideWalk Linux-varianten modules zijn ingebouwd en niet kunnen worden opgehaald van de C2-server. De Windows-versie daarentegen heeft ingebouwde functionaliteiten die rechtstreeks worden uitgevoerd door speciale functies binnen de malware. Sommige plug-ins kunnen ook worden toegevoegd via C2-communicatie in de Windows-versie van SideWalk, aldus onderzoekers.
Elke versie voert verdedigingsontduiking ook op een andere manier uit, ontdekten onderzoekers. De Windows-variant van SideWalk "doet er alles aan om de doelstellingen van zijn code te verbergen" door alle gegevens en code weg te snijden die niet nodig waren voor de uitvoering ervan, en de rest te coderen.
De Linux-varianten maken detectie en analyse van de achterdeur "aanzienlijk eenvoudiger" door symbolen te bevatten en enkele unieke authenticatiesleutels en andere artefacten onversleuteld te laten, aldus onderzoekers.
"Bovendien suggereert het veel grotere aantal inline-functies in de Windows-variant dat de code is gecompileerd met een hoger niveau van compiler-optimalisaties", voegde ze eraan toe.
