En ny Linux-versjon av SideWalk-bakdøren har blitt distribuert mot et Hong Kong-universitet i et vedvarende angrep som har kompromittert flere servere som er nøkkelen til institusjonens nettverksmiljø.
Forskere fra ESET tilskrev angrepet og bakdøren til SparklingGoblin, en avansert vedvarende trussel (APT)-gruppe som retter seg mot organisasjoner hovedsakelig i Øst- og Sørøst-Asia, med fokus på den akademiske sektoren, sa de i en blogginnlegg publisert 14. sept.
APT har også vært knyttet til angrep på et bredt spekter av organisasjoner og vertikale industrier rundt om i verden, og er kjent for å bruke SideWalk og Crosswalk-bakdørene i sitt arsenal av skadelig programvare, sa forskere.
Faktisk er angrepet på Hong Kong-universitetet andre gang SparklingGoblin har målrettet denne spesielle institusjonen; den første var i mai 2020 under studentprotester, med ESET-forskere først oppdager Linux-varianten av SideWalk i universitetets nettverk i februar 2021 uten å faktisk identifisere det som sådan, sa de.
Det siste angrepet ser ut til å være en del av en kontinuerlig kampanje som i utgangspunktet kan ha startet med utnyttelse av enten IP-kameraer og/eller nettverksvideoopptaker (NVR) og DVR-enheter, ved bruk av Spectre-botnettet eller gjennom en sårbar WordPress-server funnet i offerets miljø, sa forskere.
"SparklingGoblin har kontinuerlig målrettet denne organisasjonen over en lang periode, og har lykkes med å kompromittere flere nøkkelservere, inkludert en utskriftsserver, en e-postserver og en server som brukes til å administrere studentplaner og kursregistreringer," sa forskere.
Dessuten ser det nå ut til at Spectre RAT, først dokumentert av forskere ved 360 Netlab, faktisk er en SideWalk Linux-variant, som vist av flere fellestrekk mellom prøven identifisert av ESET-forskere, sa de.
SideWalk-lenker til SparklingGoblin
Fortau er en modulær bakdør som dynamisk kan laste inn tilleggsmoduler sendt fra dens kommando-og-kontroll-server (C2), bruker Google Docs som en dead-drop-løser, og bruker Cloudflare som en C2-server. Den kan også håndtere kommunikasjon bak en proxy på riktig måte.
Det er ulike meninger blant forskere om hvilken trusselgruppe som er ansvarlig for SideWalk-bakdøren. Mens ESET kobler skadelig programvare til SparklingGoblin, forskere ved Symantec sa det er arbeidet til Grayfly (aka GREF og Wicked Panda), en kinesisk APT som har vært aktiv siden minst mars 2017.
ESET mener at SideWalk er eksklusivt for SparklingGoblin, og baserer sin "høye tillit" i denne vurderingen på "flere kodelikheter mellom Linux-variantene av SideWalk og forskjellige SparklingGoblin-verktøy," sa forskere. En av SideWalk Linux-eksemplene bruker også en C2-adresse (66.42.103[.]222) som tidligere ble brukt av SparklingGoblin, la de til.
I tillegg til å bruke SideWalk- og Crosswalk-bakdørene, er SparklingGoblin også kjent for å distribuere Motnug- og ChaCha20-baserte lastere, PlugX RAT (aka Korplug), og Cobalt Strike i sine angrep.
Oppstart av SideWalk Linux
ESET-forskere dokumenterte først Linux-varianten av SideWalk i juli 2021, og kalte den «StageClient» fordi de ikke på det tidspunktet koblet til SparklingGoblin og SideWalk-bakdøren for Windows.
De koblet til slutt skadevaren til en modulær Linux-bakdør med fleksibel konfigurasjon som ble brukt av Spectre-botnettet som ble nevnt i en blogginnlegg av forskere ved 360 Netlab, og fant "en enorm overlapping i funksjonalitet, infrastruktur og symboler som finnes i alle binærfilene," sa ESET-forskerne.
"Disse likhetene overbeviser oss om at Spectre og StageClient er fra samme skadevarefamilie," la de til. Faktisk er begge bare Linux forskjellige av SideWalk, fant forskere til slutt. Av denne grunn blir begge nå referert til under paraplybegrepet SideWalk Linux.
Faktisk, gitt den hyppige bruken av Linux som grunnlag for skytjenester, virtuelle maskinverter og containerbasert infrastruktur, angripere retter seg i økende grad mot Linux miljøer med sofistikerte utnyttelser og skadelig programvare. Dette har gitt opphav til Linux malware som både er unikt for operativsystemet eller bygget som et komplement til Windows-versjoner, noe som viser at angripere ser en økende mulighet til å målrette mot åpen kildekode-programvare.
Sammenligning med Windows-versjonen
For sin del har SideWalk Linux mange likheter med Windows-versjonen av skadelig programvare, med forskere som skisserer bare de mest "slående" i innlegget deres, sa forskere.
En åpenbar parallell er implementeringene av ChaCha20-kryptering, hvor begge variantene bruker en teller med en startverdi på "0x0B" - en karakteristikk som tidligere ble bemerket av ESET-forskere. ChaCha20-nøkkelen er nøyaktig den samme i begge variantene, noe som styrker forbindelsen mellom de to, la de til.
Begge versjonene av SideWalk bruker også flere tråder for å utføre spesifikke oppgaver. De har hver nøyaktig fem tråder - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend og StageClient::ThreadBizMsgHandler - utført samtidig som hver utfører en spesifikk funksjon som er iboende til ESET bakdøren.
En annen likhet mellom de to versjonene er at dead-drop resolver nyttelasten – eller adversarielt innhold lagt ut på webtjenester med innebygde domener eller IP-adresser – er identisk i begge prøvene. Avgrensningstegnene - tegn valgt for å skille ett element i en streng fra et annet element - i begge versjonene er også identiske, så vel som deres dekodingsalgoritmer, sa forskere.
Forskere fant også viktige forskjeller mellom SideWalk Linux og Windows-motparten. Den ene er at i SideWalk Linux-varianter er moduler innebygd og kan ikke hentes fra C2-serveren. Windows-versjonen har på den annen side innebygde funksjoner utført direkte av dedikerte funksjoner i skadelig programvare. Noen plug-ins kan også legges til gjennom C2-kommunikasjon i Windows-versjonen av SideWalk, sa forskere.
Hver versjon utfører forsvarsunndragelse på en annen måte også, fant forskere. Windows-varianten av SideWalk "går langt for å skjule målene for koden" ved å trimme ut all data og kode som var unødvendig for utførelse, og kryptere resten.
Linux-variantene gjør deteksjon og analyse av bakdøren "betydelig enklere" ved å inneholde symboler og la noen unike autentiseringsnøkler og andre artefakter være ukrypterte, sa forskere.
"I tillegg antyder det mye høyere antallet innebygde funksjoner i Windows-varianten at koden ble kompilert med et høyere nivå av kompilatoroptimaliseringer," la de til.
