Новая версия бэкдора SideWalk для Linux была развернута против гонконгского университета в ходе постоянной атаки, которая скомпрометировала несколько серверов, являющихся ключом к сетевой среде учреждения.
Исследователи из ESET приписали атаку и бэкдор SparklingGoblin, группе продвинутых постоянных угроз (APT), которая нацелена на организации в основном в Восточной и Юго-Восточной Азии с упором на академический сектор, говорится в отчете. блоге опубликовано 14 сентября.
По словам исследователей, APT также был связан с атаками на широкий круг организаций и вертикальных отраслей по всему миру и известен использованием бэкдоров SideWalk и Crosswalk в своем арсенале вредоносных программ.
На самом деле, нападение на гонконгский университет — это второй раз, когда SparklingGoblin нацелился на это конкретное учреждение; первый был в мае 2020 года во время студенческих протестов с исследователями ESET. первое обнаружение варианта Linux SideWalk в сети университета в феврале 2021 года, фактически не идентифицируя его как таковой, сказали они.
Последняя атака, по-видимому, является частью продолжающейся кампании, которая первоначально могла начаться с эксплуатации IP-камер и/или сетевых видеорегистраторов (NVR) и DVR-устройств с использованием ботнета Spectre или через уязвимый сервер WordPress, обнаруженный в домене жертвы. среде, говорят исследователи.
«SparklingGoblin постоянно нацеливалась на эту организацию в течение длительного периода времени, успешно скомпрометировав несколько ключевых серверов, включая сервер печати, сервер электронной почты и сервер, используемый для управления расписанием студентов и регистрацией на курсы», — заявили исследователи.
Более того, теперь выясняется, что Spectre RAT, впервые задокументированный исследователями из 360 Netlab, на самом деле является вариантом SideWalk Linux, о чем свидетельствуют многочисленные сходства между образцами, идентифицированными исследователями ESET.
SideWalk Ссылки на SparklingGoblin
Боковая дорожка представляет собой модульный бэкдор, который может динамически загружать дополнительные модули, отправленные с его сервера управления и контроля (C2), использует Google Docs в качестве распознавателя тайников и использует Cloudflare в качестве сервера C2. Он также может правильно обрабатывать связь за прокси-сервером.
Мнения исследователей относительно того, какая группа угроз ответственна за бэкдор SideWalk, расходятся. В то время как ESET связывает вредоносное ПО с SparklingGoblin, исследователи Symantec сказал, что это работа Grayfly (он же GREF и Wicked Panda), китайский APT, активный как минимум с марта 2017 года.
ESET считает, что SideWalk является эксклюзивным для SparklingGoblin, основываясь на «высокой достоверности» этой оценки на «многочисленных сходствах кода между вариантами SideWalk для Linux и различными инструментами SparklingGoblin», — заявили исследователи. Они добавили, что в одном из образцов SideWalk Linux также используется адрес C2 (66.42.103[.]222), который ранее использовался SparklingGoblin.
Помимо использования бэкдоров SideWalk и Crosswalk, SparklingGoblin также известна развертыванием загрузчиков на основе Motnug и ChaCha20. PlugX RAT (он же Korplug) и Cobalt Strike в своих атаках.
Создание SideWalk Linux
Исследователи ESET впервые задокументировали вариант SideWalk для Linux в июле 2021 года, назвав его «StageClient», поскольку в то время они не установили связь со SparklingGoblin и бэкдором SideWalk для Windows.
В конечном итоге они связали вредоносное ПО с модульным бэкдором Linux с гибкой конфигурацией, используемым ботнетом Spectre, о котором упоминалось в сообщении. блоге Исследователи из 360 Netlab обнаружили «огромное совпадение в функциональности, инфраструктуре и символах, присутствующих во всех двоичных файлах», — сказали исследователи ESET.
«Эти сходства убеждают нас в том, что Spectre и StageClient относятся к одному семейству вредоносных программ», — добавили они. На самом деле, как в конце концов обнаружили исследователи, оба являются просто Linux, отличным от SideWalk. По этой причине оба теперь называются под общим термином SideWalk Linux.
Действительно, учитывая частое использование Linux в качестве основы для облачных сервисов, хостов виртуальных машин и контейнерной инфраструктуры, злоумышленники все больше ориентируются на Linux среды со сложными эксплойтами и вредоносными программами. Это породило Вредоносная программа для Linux это либо уникально для ОС, либо создано как дополнение к версиям Windows, демонстрируя, что злоумышленники видят растущую возможность атаковать программное обеспечение с открытым исходным кодом.
Сравнение с версией Windows
Со своей стороны, SideWalk Linux имеет много общего с версией вредоносного ПО для Windows, и исследователи отмечают в своем посте только самые «яркие» из них.
Одной очевидной параллелью являются реализации шифрования ChaCha20, причем оба варианта используют счетчик с начальным значением «0x0B» — характеристика, ранее отмеченная исследователями ESET. Ключ ChaCha20 абсолютно одинаков в обоих вариантах, что усиливает связь между ними, добавили они.
Обе версии SideWalk также используют несколько потоков для выполнения определенных задач. Каждый из них имеет ровно пять потоков — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend и StageClient::ThreadBizMsgHandler — выполняемых одновременно, каждый из которых выполняет определенную функцию, присущую бэкдору, согласно ESET.
Еще одно сходство между двумя версиями заключается в том, что полезная нагрузка распознавателя тайников — или враждебный контент, размещенный в веб-службах со встроенными доменами или IP-адресами, — идентична в обоих образцах. Исследователи заявили, что разделители — символы, выбранные для отделения одного элемента строки от другого элемента — в обеих версиях также идентичны, как и алгоритмы их декодирования.
Исследователи также обнаружили ключевые различия между SideWalk Linux и его аналогом для Windows. Во-первых, в вариантах SideWalk Linux модули встроены и не могут быть загружены с сервера C2. Версия для Windows, с другой стороны, имеет встроенные функции, выполняемые непосредственно специальными функциями вредоносного ПО. По словам исследователей, некоторые плагины также могут быть добавлены через связь C2 в версии SideWalk для Windows.
Исследователи обнаружили, что каждая версия выполняет уклонение от защиты по-разному. Вариант SideWalk для Windows «делает все возможное, чтобы скрыть цели своего кода», обрезая все данные и код, которые не нужны для его выполнения, а остальное шифрует.
По словам исследователей, варианты Linux значительно упрощают обнаружение и анализ бэкдора, поскольку содержат символы и оставляют незашифрованными некоторые уникальные ключи аутентификации и другие артефакты.
«Кроме того, гораздо большее количество встроенных функций в варианте для Windows предполагает, что его код был скомпилирован с более высоким уровнем оптимизации компилятора», — добавили они.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
