Uma nova versão Linux do backdoor SideWalk foi implantada contra uma universidade de Hong Kong em um ataque persistente que comprometeu vários servidores essenciais para o ambiente de rede da instituição.
Pesquisadores da ESET atribuíram o ataque e o backdoor ao SparklingGoblin, um grupo de ameaças persistentes avançadas (APT) que tem como alvo organizações principalmente no Leste e Sudeste Asiático, com foco no setor acadêmico, disseram eles em um comunicado. no blog publicado em 14 de setembro.
O APT também tem sido associado a ataques a uma ampla gama de organizações e indústrias verticais em todo o mundo, e é conhecido por usar backdoors SideWalk e Crosswalk em seu arsenal de malware, disseram os pesquisadores.
Na verdade, o ataque à universidade de Hong Kong é a segunda vez que o SparklingGoblin tem como alvo esta instituição específica; a primeira foi em maio de 2020, durante protestos estudantis, com pesquisadores da ESET detectando primeiro a variante Linux do SideWalk na rede da universidade em fevereiro de 2021, sem realmente identificá-lo como tal, disseram.
O ataque mais recente parece fazer parte de uma campanha contínua que inicialmente pode ter começado com a exploração de câmeras IP e/ou gravadores de vídeo em rede (NVR) e dispositivos DVR, usando o botnet Spectre ou através de um servidor WordPress vulnerável encontrado no computador da vítima. meio ambiente, disseram os pesquisadores.
“O SparklingGoblin tem continuamente visado esta organização durante um longo período de tempo, comprometendo com sucesso vários servidores principais, incluindo um servidor de impressão, um servidor de e-mail e um servidor usado para gerenciar agendas de alunos e inscrições em cursos”, disseram os pesquisadores.
Além disso, agora parece que o Spectre RAT, documentado pela primeira vez por pesquisadores da 360 Netlab, é na verdade uma variante do SideWalk Linux, como mostrado por vários pontos em comum entre a amostra identificada pelos pesquisadores da ESET, disseram eles.
Links SideWalk para SparklingGoblin
Calçada é um backdoor modular que pode carregar dinamicamente módulos adicionais enviados de seu servidor de comando e controle (C2), usa o Google Docs como um resolvedor dead-drop e usa Cloudflare como um servidor C2. Ele também pode lidar adequadamente com a comunicação por trás de um proxy.
Existem opiniões divergentes entre os pesquisadores sobre qual grupo de ameaças é responsável pelo backdoor SideWalk. Embora a ESET vincule o malware ao SparklingGoblin, pesquisadores da Symantec disse que é o trabalho de Grayfly (também conhecido como GREF e Wicked Panda), um APT chinês ativo desde pelo menos março de 2017.
A ESET acredita que o SideWalk é exclusivo do SparklingGoblin, baseando sua “alta confiança” nesta avaliação em “múltiplas semelhanças de código entre as variantes Linux do SideWalk e várias ferramentas do SparklingGoblin”, disseram os pesquisadores. Uma das amostras do SideWalk Linux também usa um endereço C2 (66.42.103[.]222) que foi usado anteriormente pelo SparklingGoblin, acrescentaram.
Além de usar backdoors SideWalk e Crosswalk, SparklingGoblin também é conhecido por implantar carregadores baseados em Motnug e ChaCha20, o PlugX RAT (também conhecido como Korplug) e Cobalt Strike em seus ataques.
Início do SideWalk Linux
Os pesquisadores da ESET documentaram pela primeira vez a variante Linux do SideWalk em julho de 2021, apelidando-a de “StageClient” porque na época não fizeram a conexão com o SparklingGoblin e o backdoor SideWalk para Windows.
Eles eventualmente vincularam o malware a um backdoor Linux modular com configuração flexível usado pelo botnet Spectre mencionado em um no blog por pesquisadores da 360 Netlab, encontrando “uma enorme sobreposição em funcionalidade, infraestrutura e símbolos presentes em todos os binários”, disseram os pesquisadores da ESET.
“Essas semelhanças nos convencem de que Spectre e StageClient são da mesma família de malware”, acrescentaram. Na verdade, ambos são apenas versões Linux do SideWalk, descobriram os pesquisadores. Por esse motivo, ambos são agora chamados de SideWalk Linux.
Na verdade, dado o uso frequente do Linux como base para serviços em nuvem, hosts de máquinas virtuais e infraestrutura baseada em contêineres, os invasores estão cada vez mais visando o Linux ambientes com explorações sofisticadas e malware. Isto deu origem a Malware Linux isso é exclusivo do sistema operacional ou criado como um complemento às versões do Windows, demonstrando que os invasores veem uma oportunidade crescente de atingir o software de código aberto.
Comparação com a versão do Windows
Por sua vez, o SideWalk Linux tem inúmeras semelhanças com a versão do malware para Windows, com os pesquisadores descrevendo apenas as mais “impressionantes” em suas postagens, disseram os pesquisadores.
Um paralelo óbvio são as implementações da criptografia ChaCha20, com ambas as variantes usando um contador com valor inicial de “0x0B” – uma característica previamente observada pelos pesquisadores da ESET. A chave ChaCha20 é exatamente a mesma em ambas as variantes, fortalecendo a conexão entre as duas, acrescentaram.
Ambas as versões do SideWalk também usam vários threads para executar tarefas específicas. Cada um deles tem exatamente cinco threads – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend e StageClient::ThreadBizMsgHandler – executados simultaneamente, cada um executando uma função específica intrínseca ao backdoor, de acordo com a ESET.
Outra semelhança entre as duas versões é que a carga útil do resolvedor dead-drop – ou conteúdo adversário postado em serviços da Web com domínios ou endereços IP incorporados – é idêntica em ambas as amostras. Os delimitadores – caracteres escolhidos para separar um elemento de outro elemento em uma string – de ambas as versões também são idênticos, assim como seus algoritmos de decodificação, disseram os pesquisadores.
Os pesquisadores também encontraram diferenças importantes entre o SideWalk Linux e seu equivalente no Windows. Uma é que nas variantes do SideWalk Linux, os módulos são integrados e não podem ser obtidos do servidor C2. A versão para Windows, por outro lado, possui funcionalidades integradas executadas diretamente por funções dedicadas dentro do malware. Alguns plug-ins também podem ser adicionados por meio de comunicações C2 na versão Windows do SideWalk, disseram os pesquisadores.
Cada versão também executa a evasão da defesa de uma maneira diferente, descobriram os pesquisadores. A variante Windows do SideWalk “faz todo o possível para ocultar os objetivos de seu código”, eliminando todos os dados e códigos desnecessários para sua execução, criptografando o resto.
As variantes do Linux tornam a detecção e análise do backdoor “significativamente mais fácil”, contendo símbolos e deixando algumas chaves de autenticação exclusivas e outros artefatos não criptografados, disseram os pesquisadores.
“Além disso, o número muito maior de funções embutidas na variante do Windows sugere que seu código foi compilado com um nível mais alto de otimizações do compilador”, acrescentaram.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
