O nouă versiune Linux a backdoor SideWalk a fost implementată împotriva unei universități din Hong Kong într-un atac persistent care a compromis mai multe servere cheie pentru mediul de rețea al instituției.
Cercetătorii de la ESET au atribuit atacul și ușa din spate lui SparklingGoblin, un grup avansat de amenințare persistentă (APT) care vizează organizațiile în principal din Asia de Est și de Sud-Est, cu accent pe sectorul academic, au spus ei într-un blog publicat pe 14 sept.
De asemenea, APT a fost legat de atacuri asupra unei game largi de organizații și industrii verticale din întreaga lume și este cunoscut pentru utilizarea ușilor din spate SideWalk și Crosswalk în arsenalul său de malware, au spus cercetătorii.
De fapt, atacul asupra universității din Hong Kong este a doua oară când SparklingGoblin a vizat această instituție specială; prima a fost în mai 2020, în timpul protestelor studențești, cu cercetătorii ESET detectând mai întâi varianta Linux de SideWalk în rețeaua universității în februarie 2021, fără a-l identifica efectiv ca atare, au spus ei.
Cel mai recent atac pare să facă parte dintr-o campanie continuă care inițial ar fi început cu exploatarea fie a camerelor IP și/sau a aparatelor de înregistrare video în rețea (NVR) și a dispozitivelor DVR, folosind botnet-ul Spectre sau printr-un server WordPress vulnerabil găsit în rețeaua victimei. mediu, au spus cercetătorii.
„SparklingGoblin a vizat în mod continuu această organizație pe o perioadă lungă de timp, compromițând cu succes mai multe servere cheie, inclusiv un server de imprimare, un server de e-mail și un server folosit pentru a gestiona programele studenților și înregistrările la cursuri”, au spus cercetătorii.
Mai mult decât atât, acum se pare că Spectre RAT, documentat pentru prima dată de cercetătorii de la 360 Netlab, este de fapt o variantă SideWalk Linux, așa cum arată mai multe puncte comune între eșantionul identificat de cercetătorii ESET, au spus aceștia.
Linkuri SideWalk către SparklingGoblin
Trotuar este un backdoor modular care poate încărca în mod dinamic module suplimentare trimise de pe serverul său de comandă și control (C2), utilizează Google Docs ca soluție de dead-drop și folosește Cloudflare ca server C2. De asemenea, poate gestiona corect comunicarea din spatele unui proxy.
Există opinii diferite în rândul cercetătorilor cu privire la grupul de amenințare responsabil pentru ușa din spate SideWalk. În timp ce ESET conectează malware-ul la SparklingGoblin, cercetători de la Symantec a spus că este opera lui Grayfly (aka GREF și Wicked Panda), un APT chinez activ din martie 2017 cel puțin.
ESET consideră că SideWalk este exclusiv SparklingGoblin, bazându-și „încrederea ridicată” în această evaluare pe „asemănări multiple de cod între variantele Linux ale SideWalk și diverse instrumente SparklingGoblin”, au spus cercetătorii. Unul dintre exemplele SideWalk Linux folosește și o adresă C2 (66.42.103[.]222) care a fost folosită anterior de SparklingGoblin, au adăugat ei.
Pe lângă utilizarea ușilor din spate SideWalk și Crosswalk, SparklingGoblin este cunoscut și pentru implementarea încărcătoarelor bazate pe Motnug și ChaCha20, PlugX RAT (aka Korplug) și Cobalt Strike în atacurile sale.
Înființarea SideWalk Linux
Cercetătorii ESET au documentat pentru prima dată varianta Linux a SideWalk în iulie 2021, denumind-o „StageClient”, deoarece nu au făcut la momentul respectiv conexiunea la SparklingGoblin și backdoor SideWalk pentru Windows.
În cele din urmă, au legat malware-ul la o ușă Linux modulară cu configurație flexibilă utilizată de botnetul Spectre, care a fost menționat într-un blog de către cercetătorii de la 360 Netlab, constatând „o suprapunere uriașă a funcționalității, infrastructurii și simbolurilor prezente în toate binarele”, au spus cercetătorii ESET.
„Aceste asemănări ne convin că Spectre și StageClient sunt din aceeași familie de malware”, au adăugat ei. De fapt, ambele sunt doar Linux diferite de SideWalk, au descoperit în cele din urmă cercetătorii. Din acest motiv, ambele sunt acum denumite sub termenul general SideWalk Linux.
Într-adevăr, având în vedere utilizarea frecventă a Linux ca bază pentru serviciile cloud, gazdele de mașini virtuale și infrastructura bazată pe containere, atacatorii vizează din ce în ce mai mult Linux medii cu exploit-uri sofisticate și malware. Aceasta a dat naștere la Malware Linux care este atât unic pentru sistemul de operare, cât și construit ca o completare a versiunilor Windows, demonstrând că atacatorii văd o oportunitate tot mai mare de a viza software-ul open source.
Comparație cu versiunea Windows
La rândul său, SideWalk Linux are numeroase asemănări cu versiunea Windows a malware-ului, cercetătorii subliniindu-le doar pe cele mai „stribitoare” în postarea lor, au spus cercetătorii.
O paralelă evidentă este implementarea criptării ChaCha20, ambele variante utilizând un contor cu o valoare inițială de „0x0B” - o caracteristică observată anterior de cercetătorii ESET. Cheia ChaCha20 este exact aceeași în ambele variante, întărind legătura dintre cele două, au adăugat aceștia.
Ambele versiuni de SideWalk folosesc, de asemenea, mai multe fire pentru a executa sarcini specifice. Fiecare dintre ele are exact cinci fire de execuție — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend și StageClient::ThreadBizMsgHandler — executat simultan, fiecare în funcție de o funcție de backdo sau intr-un SET specific.
O altă similitudine între cele două versiuni este că încărcătura utilă a soluției de dead-drop - sau conținutul advers postat pe servicii web cu domenii sau adrese IP încorporate - este identică în ambele mostre. Delimitatorii - caracterele alese pentru a separa un element dintr-un șir de alt element - ale ambelor versiuni sunt, de asemenea, identici, precum și algoritmii lor de decodare, au spus cercetătorii.
Cercetătorii au descoperit, de asemenea, diferențe cheie între SideWalk Linux și omologul său Windows. Una este că, în variantele SideWalk Linux, modulele sunt încorporate și nu pot fi preluate de pe serverul C2. Versiunea Windows, pe de altă parte, are funcționalități încorporate executate direct de funcții dedicate din malware. De asemenea, unele plug-in-uri pot fi adăugate prin comunicații C2 în versiunea Windows a SideWalk, au spus cercetătorii.
Fiecare versiune efectuează evaziunea de apărare și într-un mod diferit, au descoperit cercetătorii. Varianta Windows a SideWalk „face toate eforturile pentru a ascunde obiectivele codului său” prin tăierea tuturor datelor și codului care nu erau necesare pentru execuția sa, criptând restul.
Variantele Linux fac detectarea și analiza ușii din spate „în mod semnificativ mai ușoară”, conținând simboluri și lăsând unele chei de autentificare unice și alte artefacte necriptate, au spus cercetătorii.
„În plus, numărul mult mai mare de funcții inline din varianta Windows sugerează că codul său a fost compilat cu un nivel mai ridicat de optimizări ale compilatorului”, au adăugat ei.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
