En ny Linux-version av SideWalk-bakdörren har distribuerats mot ett universitet i Hongkong i en ihållande attack som har äventyrat flera servrar som är nyckeln till institutionens nätverksmiljö.
Forskare från ESET tillskrev attacken och bakdörren till SparklingGoblin, en grupp för avancerad persistent hot (APT) som riktar sig mot organisationer mestadels i Öst- och Sydostasien, med fokus på den akademiska sektorn, sa de i en blogginlägg publicerad 14 sept.
APT har också kopplats till attacker på ett brett spektrum av organisationer och vertikala industrier runt om i världen, och är känt för att använda SideWalk och Crosswalk-bakdörrarna i sin arsenal av skadlig programvara, sa forskare.
Faktum är att attacken mot Hongkongs universitet är andra gången SparklingGoblin har riktat in sig på just denna institution; den första var i maj 2020 under studentprotester, med ESET-forskare först upptäckte Linux-varianten av SideWalk i universitetets nätverk i februari 2021 utan att faktiskt identifiera det som sådant, sa de.
Den senaste attacken verkar vara en del av en kontinuerlig kampanj som till en början kan ha startat med utnyttjande av antingen IP-kameror och/eller nätverksvideoinspelare (NVR) och DVR-enheter, med hjälp av Spectre-botnätet eller genom en sårbar WordPress-server som hittades i offrets miljö, sa forskare.
"SparklingGoblin har kontinuerligt riktat in sig på den här organisationen under en lång tidsperiod och framgångsrikt äventyrat flera nyckelservrar, inklusive en skrivarserver, en e-postserver och en server som används för att hantera studentscheman och kursregistreringar," sa forskare.
Dessutom verkar det nu som att Spectre RAT, först dokumenterad av forskare vid 360 Netlab, faktiskt är en SideWalk Linux-variant, vilket framgår av flera gemensamma drag mellan provet som identifierats av ESET-forskare, sa de.
SideWalk länkar till SparklingGoblin
Trottoar är en modulär bakdörr som dynamiskt kan ladda ytterligare moduler som skickas från sin kommando-och-kontroll-server (C2), använder Google Docs som en dead-drop-resolver och använder Cloudflare som en C2-server. Den kan också korrekt hantera kommunikation bakom en proxy.
Det finns olika åsikter bland forskare om vilken hotgrupp som är ansvarig för SideWalk-bakdörren. Medan ESET länkar skadlig programvara till SparklingGoblin, forskare på Symantec sa att det är Grayfly verk (alias GREF och Wicked Panda), en kinesisk APT aktiv sedan åtminstone mars 2017.
ESET anser att SideWalk är exklusivt för SparklingGoblin, och baserar sitt "höga förtroende" i denna bedömning på "flera kodlikheter mellan Linux-varianterna av SideWalk och olika SparklingGoblin-verktyg", sa forskare. Ett av SideWalk Linux-exemplen använder också en C2-adress (66.42.103[.]222) som tidigare användes av SparklingGoblin, tillade de.
Förutom att använda SideWalk- och Crosswalk-bakdörrarna är SparklingGoblin också känt för att använda Motnug- och ChaCha20-baserade lastare, PlugX RAT (aka Korplug), och Cobalt Strike i sina attacker.
Starten av SideWalk Linux
ESET-forskare dokumenterade Linux-varianten av SideWalk för första gången i juli 2021 och kallade den "StageClient" eftersom de vid den tiden inte gjorde anslutningen till SparklingGoblin och SideWalk-bakdörren för Windows.
De kopplade så småningom skadlig programvara till en modulär Linux-bakdörr med flexibel konfiguration som användes av Spectre-botnätet som nämndes i en blogginlägg av forskare vid 360 Netlab och hittade "en enorm överlappning i funktionalitet, infrastruktur och symboler som finns i alla binärer", sa ESET-forskarna.
"Dessa likheter övertygar oss om att Spectre och StageClient kommer från samma skadliga programfamilj", tillade de. I själva verket är båda bara Linux olika av SideWalk, fann forskare så småningom. Av denna anledning hänvisas nu båda till under paraplytermen SideWalk Linux.
Med tanke på den frekventa användningen av Linux som grund för molntjänster, virtuella maskinvärdar och containerbaserad infrastruktur, har angripare faktiskt riktar sig allt mer mot Linux miljöer med sofistikerade exploateringar och skadlig programvara. Detta har gett upphov till Linux skadlig kod som både är unikt för operativsystemet eller byggt som ett komplement till Windows-versioner, vilket visar att angripare ser en växande möjlighet att rikta in sig på programvaran med öppen källkod.
Jämförelse med Windows-versionen
För sin del har SideWalk Linux många likheter med Windows-versionen av skadlig programvara, med forskare som bara beskriver de mest "slående" i sitt inlägg, sa forskare.
En uppenbar parallell är implementeringarna av ChaCha20-kryptering, där båda varianterna använder en räknare med ett initialt värde på "0x0B" - en egenskap som tidigare noterats av ESET-forskare. ChaCha20-nyckeln är exakt densamma i båda varianterna, vilket stärker kopplingen mellan de två, tillade de.
Båda versionerna av SideWalk använder också flera trådar för att utföra specifika uppgifter. De har var och en exakt fem trådar - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend och StageClient::ThreadBizMsgHandler - som körs samtidigt som var och en utför en specifik funktion som är inbyggd i ESETs bakdörr.
En annan likhet mellan de två versionerna är att dead-drop-resolverns nyttolast – eller motstridigt innehåll som publiceras på webbtjänster med inbäddade domäner eller IP-adresser – är identisk i båda exemplen. Avgränsarna - tecken som valts för att separera ett element i en sträng från ett annat element - i båda versionerna är också identiska, såväl som deras avkodningsalgoritmer, sa forskare.
Forskare fann också viktiga skillnader mellan SideWalk Linux och dess Windows-motsvarighet. En är att i SideWalk Linux-varianter är moduler inbyggda och kan inte hämtas från C2-servern. Windows-versionen, å andra sidan, har inbyggda funktioner som exekveras direkt av dedikerade funktioner inom skadlig programvara. Vissa plugin-program kan också läggas till via C2-kommunikation i Windows-versionen av SideWalk, sa forskare.
Varje version utför också försvarsflykt på ett annat sätt, fann forskare. Windows-varianten av SideWalk "går till stora ansträngningar för att dölja målen för sin kod" genom att trimma ut all data och kod som var onödig för dess exekvering, och kryptera resten.
Linux-varianterna gör detektion och analys av bakdörren "betydligt enklare" genom att innehålla symboler och lämna några unika autentiseringsnycklar och andra artefakter okrypterade, sa forskare.
"Dessutom tyder det mycket högre antalet infogade funktioner i Windows-varianten på att dess kod kompilerades med en högre nivå av kompilatoroptimeringar", tillade de.
