SparklingGoblin aktualizuje wersję backdoora SideWalk dla systemu Linux w ramach trwającej kampanii cybernetycznej

Nowa wersja backdoora SideWalk dla systemu Linux została wdrożona przeciwko uniwersytetowi w Hongkongu w ramach uporczywego ataku, w którym zhakowano wiele serwerów, klucz do środowiska sieciowego instytucji.

Naukowcy z ESET przypisali atak i backdoora SparklingGoblin, grupie zaawansowanego trwałego zagrożenia (APT), która atakuje organizacje głównie w Azji Wschodniej i Południowo-Wschodniej, skupiając się na sektorze akademickim. blogu opublikowano 14 września.

APT jest również powiązany z atakami na szeroką gamę organizacji i branż branżowych na całym świecie i jest znany z wykorzystywania backdoorów SideWalk i Crosswalk w swoim arsenale złośliwego oprogramowania - stwierdzili naukowcy.

W rzeczywistości atak na uniwersytet w Hongkongu jest drugim atakiem SparklingGoblin na tę konkretną instytucję; pierwszy odbył się w maju 2020 r. podczas studenckich protestów z udziałem badaczy ESET pierwsze wykrycie wariantu Linuksa SideWalk w sieci uniwersyteckiej w lutym 2021 roku, nie identyfikując go jako takiego, powiedzieli.

Najnowszy atak wydaje się być częścią ciągłej kampanii, która początkowo mogła rozpocząć się od wykorzystania kamer IP i/lub sieciowych rejestratorów wideo (NVR) i urządzeń DVR, przy użyciu botnetu Spectre lub za pośrednictwem podatnego na ataki serwera WordPress znalezionego w środowisko, twierdzą naukowcy.

„SparklingGoblin stale atakował tę organizację przez długi czas, skutecznie naruszając wiele kluczowych serwerów, w tym serwer wydruku, serwer poczty e-mail i serwer używany do zarządzania harmonogramami studentów i rejestracjami na kursy” – powiedzieli naukowcy.

Co więcej, teraz wydaje się, że Spectre RAT, po raz pierwszy udokumentowany przez naukowców z 360 Netlab, jest w rzeczywistości wariantem SideWalk Linux, o czym świadczą liczne podobieństwa między próbkami zidentyfikowanymi przez badaczy ESET.

Linki SideWalk do SparklingGoblin

Chodnik jest modułowym backdoorem, który może dynamicznie ładować dodatkowe moduły wysyłane z serwera C2 (C2), korzysta z Dokumentów Google jako rozwiązania typu „dead-drop” i używa Cloudflare jako serwera CXNUMX. Potrafi również prawidłowo obsługiwać komunikację za pośrednictwem proxy.

Wśród badaczy istnieją różne opinie na temat tego, która grupa zagrożeń jest odpowiedzialna za backdoora SideWalk. Podczas gdy ESET łączy złośliwe oprogramowanie z SparklingGoblin, badacze w firmie Symantec powiedział tak jest dzieło Grayfly (aka GREF i Wicked Panda), chiński APT aktywny od co najmniej marca 2017 r.

Firma ESET uważa, że ​​SideWalk jest wyłączną własnością SparklingGoblin, opierając swoje „wysokie zaufanie” w tej ocenie na „wielu podobieństwach kodu między wariantami SideWalk dla Linuksa i różnymi narzędziami SparklingGoblin” – powiedzieli naukowcy. Jeden z przykładów SideWalk Linux również używa adresu C2 (66.42.103[.]222), który był wcześniej używany przez SparklingGoblin, dodali.

Oprócz korzystania z tylnych drzwi SideWalk i Crosswalk, SparklingGoblin jest również znany z wdrażania ładowarek opartych na Motnug i ChaCha20, Szczur PlugX (aka Korplug) i Cobalt Strike w swoich atakach.

Powstanie SideWalk Linux

Badacze ESET po raz pierwszy udokumentowali wariant SideWalk dla Linuksa w lipcu 2021 roku, nazywając go „StageClient”, ponieważ w tym czasie nie nawiązali połączenia z SparklingGoblin i backdoorem SideWalk dla systemu Windows.

Ostatecznie powiązali szkodliwe oprogramowanie z modułowym backdoorem dla systemu Linux z elastyczną konfiguracją wykorzystywaną przez botnet Spectre, o którym mowa w blogu przez badaczy z 360 Netlab, stwierdzając „ogromne nakładanie się funkcjonalności, infrastruktury i symboli obecnych we wszystkich plikach binarnych” – stwierdzili badacze ESET.

„Te podobieństwa przekonują nas, że Spectre i StageClient pochodzą z tej samej rodziny złośliwego oprogramowania” – dodali. W rzeczywistości oba są po prostu Linuksem różniącymi się od SideWalk, w końcu odkryli badacze. Z tego powodu oba są obecnie określane pod wspólnym terminem SideWalk Linux.

Rzeczywiście, biorąc pod uwagę częste wykorzystywanie Linuksa jako podstawy usług w chmurze, hostów maszyn wirtualnych i infrastruktury opartej na kontenerach, osoby atakujące coraz częściej atakują Linuksa środowiska z wyrafinowanymi exploitami i złośliwym oprogramowaniem. To dało początek Złośliwe oprogramowanie dla Linuksa jest to zarówno unikalne dla systemu operacyjnego, jak i stworzone jako uzupełnienie wersji Windows, pokazując, że atakujący widzą rosnącą szansę na atakowanie oprogramowania open source.

Porównanie z wersją Windows

Ze swojej strony SideWalk Linux ma wiele podobieństw do wersji tego szkodliwego oprogramowania dla systemu Windows, a badacze w swoim poście opisali tylko te najbardziej „uderzające” – twierdzą badacze.

Jedną z oczywistych paraleli są implementacje szyfrowania ChaCha20, w których oba warianty wykorzystują licznik z początkową wartością „0x0B” — cecha zauważona wcześniej przez badaczy ESET. Klucz ChaCha20 jest dokładnie taki sam w obu wariantach, wzmacniając połączenie między nimi, dodali.

Obie wersje SideWalk wykorzystują również wiele wątków do wykonywania określonych zadań. Każdy z nich ma dokładnie pięć wątków — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend i StageClient::ThreadBizMsgHandler — wykonywanych jednocześnie, z których każdy wykonuje określoną funkcję nieodłączną od backdoora, zgodnie z ESET.

Kolejne podobieństwo między tymi dwiema wersjami polega na tym, że ładunek rozpoznawania martwego punktu — lub treści wrogie publikowane w usługach sieci Web z osadzonymi domenami lub adresami IP — są identyczne w obu próbkach. Ograniczniki — znaki wybrane do oddzielenia jednego elementu w ciągu od innego — w obu wersjach również są identyczne, podobnie jak ich algorytmy dekodowania, stwierdzili naukowcy.

Badacze odkryli również kluczowe różnice między systemem SideWalk Linux a jego odpowiednikiem w systemie Windows. Jednym z nich jest to, że w wariantach SideWalk Linux moduły są wbudowane i nie można ich pobrać z serwera C2. Z drugiej strony wersja dla systemu Windows ma wbudowane funkcje wykonywane bezpośrednio przez dedykowane funkcje w złośliwym oprogramowaniu. Naukowcy twierdzą, że niektóre wtyczki można również dodać za pośrednictwem komunikacji C2 w wersji SideWalk dla systemu Windows.

Badacze odkryli, że każda wersja wykonuje również unikanie obrony w inny sposób. Wariant SideWalk dla systemu Windows „dokłada wszelkich starań, aby ukryć cele swojego kodu”, usuwając wszystkie dane i kod, które były niepotrzebne do jego wykonania, a resztę szyfrując.

Warianty Linuksa znacznie ułatwiają wykrywanie i analizę backdoora, zawierając symbole i pozostawiając niezaszyfrowane unikalne klucze uwierzytelniające i inne artefakty.

„Dodatkowo, znacznie większa liczba funkcji wbudowanych w wariancie Windows sugeruje, że jego kod został skompilowany z wyższym poziomem optymalizacji kompilatora” – dodali.