Nova različica stranskih vrat SideWalk za Linux je bila uporabljena proti hongkonški univerzi v vztrajnem napadu, ki je ogrožal več strežnikov, ključnih za omrežno okolje ustanove.
Raziskovalci iz ESET-a so napad in stranska vrata pripisali SparklingGoblinu, skupini za napredne trajne grožnje (APT), ki cilja na organizacije predvsem v vzhodni in jugovzhodni Aziji, s poudarkom na akademskem sektorju, so povedali v blog post objavljeno 14. sept.
APT je bil povezan tudi z napadi na široko paleto organizacij in vertikalnih industrij po vsem svetu in je znan po uporabi stranskih vrat SideWalk in Crosswalk v svojem arzenalu zlonamerne programske opreme, pravijo raziskovalci.
Pravzaprav je napad na hongkonško univerzo že drugič, da je SparklingGoblin tarča prav te ustanove; prvi je bil maja 2020 med študentskimi protesti z raziskovalci ESET najprej zazna različico Linuxa SideWalka v omrežju univerze februarja 2021, ne da bi ga dejansko identificirali kot takega, so povedali.
Zdi se, da je zadnji napad del stalne kampanje, ki se je sprva morda začela z izkoriščanjem IP kamer in/ali omrežnih video snemalnikov (NVR) in DVR naprav z uporabo botneta Spectre ali prek ranljivega strežnika WordPress, najdenega v žrtvinem strežniku. okolje, so povedali raziskovalci.
"SparklingGoblin je v daljšem časovnem obdobju nenehno ciljal na to organizacijo in uspešno ogrozil več ključnih strežnikov, vključno s tiskalniškim strežnikom, e-poštnim strežnikom in strežnikom, ki se uporablja za upravljanje urnikov študentov in registracije tečajev," so povedali raziskovalci.
Poleg tega se zdaj zdi, da je Spectre RAT, ki so ga prvi dokumentirali raziskovalci pri 360 Netlab, dejansko različica SideWalk Linux, kot je razvidno iz več skupnih značilnosti med vzorcem, ki so ga odkrili raziskovalci ESET, so povedali.
SideWalk Povezave do SparklingGoblin
SideWalk je modularna stranska vrata, ki lahko dinamično naloži dodatne module, poslane s strežnika za ukaze in nadzor (C2), uporablja Google Dokumente kot razreševalec mrtve točke in uporablja Cloudflare kot strežnik C2. Prav tako lahko pravilno obravnava komunikacijo za posrednikom.
Med raziskovalci obstajajo različna mnenja o tem, katera skupina groženj je odgovorna za stranska vrata SideWalk. Medtem ko ESET zlonamerno programsko opremo poveže s SparklingGoblin, raziskovalci pri Symantecu rekel, da je delo Grayfly (aka GREF in Wicked Panda), kitajski APT, aktiven vsaj od marca 2017.
ESET verjame, da je SideWalk ekskluziven za SparklingGoblin, pri čemer svoje "visoko zaupanje" v to oceno utemeljuje z "številnimi podobnostmi kode med Linux različicami SideWalka in različnimi orodji SparklingGoblin," so povedali raziskovalci. Eden od vzorcev SideWalk Linux uporablja tudi naslov C2 (66.42.103[.]222), ki ga je prej uporabljal SparklingGoblin, so dodali.
Poleg uporabe stranskih vrat SideWalk in Crosswalk je SparklingGoblin znan tudi po uvajanju nakladalnikov, ki temeljijo na Motnug in ChaCha20, PlugX RAT (aka Korplug) in Cobalt Strike v svojih napadih.
Začetek SideWalk Linux
Raziskovalci ESET so različico SideWalk za Linux prvič dokumentirali julija 2021 in jo poimenovali »StageClient«, ker takrat niso vzpostavili povezave s SparklingGoblin in stranskimi vrati SideWalk za Windows.
Sčasoma so zlonamerno programsko opremo povezali z modularnim backdoorjem Linuxa s prilagodljivo konfiguracijo, ki jo uporablja botnet Spectre, ki je bil omenjen v blog post raziskovalci pri 360 Netlab, pri čemer so ugotovili "ogromno prekrivanje v funkcionalnosti, infrastrukturi in simbolih, ki so prisotni v vseh binarnih datotekah," so povedali raziskovalci ESET.
"Te podobnosti nas prepričajo, da sta Spectre in StageClient iz iste družine zlonamerne programske opreme," so dodali. Raziskovalci so sčasoma ugotovili, da sta oba le različica SideWalka za Linux. Iz tega razloga se zdaj oba imenujeta pod krovnim izrazom SideWalk Linux.
Dejansko glede na pogosto uporabo Linuxa kot osnove za storitve v oblaku, gostitelje navideznih strojev in infrastrukturo, ki temelji na vsebnikih, napadalci vedno bolj ciljajo na Linux okolja s prefinjenimi izkoriščanji in zlonamerno programsko opremo. To je povzročilo Zlonamerna programska oprema za Linux ki je edinstven za operacijski sistem ali zgrajen kot dopolnilo različicam sistema Windows, kar dokazuje, da napadalci vidijo vse večjo priložnost za ciljanje na odprtokodno programsko opremo.
Primerjava z različico sistema Windows
SideWalk Linux ima številne podobnosti z različico zlonamerne programske opreme za Windows, pri čemer so raziskovalci v svoji objavi izpostavili le tiste, ki so najbolj »presunljive«.
Ena očitna vzporednica je izvedba šifriranja ChaCha20, pri čemer obe različici uporabljata števec z začetno vrednostjo »0x0B« – značilnost, ki so jo prej opazili raziskovalci ESET. Ključ ChaCha20 je popolnoma enak v obeh različicah, kar krepi povezavo med obema, so dodali.
Obe različici SideWalk uporabljata tudi več niti za izvajanje določenih nalog. Vsaka ima natanko pet niti – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend in StageClient::ThreadBizMsgHandler – ki se izvajajo hkrati in vsaka izvaja specifično funkcijo, ki je lastna zadnjim vratom, pravi ESET.
Druga podobnost med obema različicama je, da je obremenitev reševalnika mrtve točke – ali kontradiktorna vsebina, objavljena v spletnih storitvah z vdelanimi domenami ali naslovi IP – enaka v obeh vzorcih. Ločila - znaki, izbrani za ločevanje enega elementa v nizu od drugega elementa - obeh različic so prav tako enaki, kot tudi njihovi algoritmi za dekodiranje, so povedali raziskovalci.
Raziskovalci so odkrili tudi ključne razlike med SideWalk Linux in njegovim dvojnikom Windows. Eno je, da so v različicah SideWalk Linux moduli vgrajeni in jih ni mogoče pridobiti s strežnika C2. Po drugi strani pa ima različica sistema Windows vgrajene funkcije, ki jih izvajajo neposredno namenske funkcije znotraj zlonamerne programske opreme. Nekatere vtičnike je mogoče dodati tudi prek komunikacij C2 v različici SideWalk za Windows, so povedali raziskovalci.
Raziskovalci so ugotovili, da vsaka različica izvaja tudi izogibanje obrambi na drugačen način. Različica programa SideWalk za Windows se »zelo trudi prikriti cilje svoje kode«, tako da izloči vse podatke in kodo, ki so bili nepotrebni za njegovo izvajanje, ostalo pa šifrira.
Različice Linuxa omogočajo odkrivanje in analizo stranskih vrat "bistveno lažje", saj vsebujejo simbole in pustijo nekatere edinstvene ključe za preverjanje pristnosti in druge artefakte nešifrirane, so povedali raziskovalci.
"Poleg tega veliko večje število vgrajenih funkcij v različici Windows nakazuje, da je bila koda prevedena z višjo stopnjo optimizacij prevajalnika," so dodali.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
