SparklingGoblin อัปเดตเวอร์ชัน Linux ของ SideWalk Backdoor ในแคมเปญไซเบอร์ต่อเนื่อง

เวอร์ชัน Linux ใหม่ของแบ็คดอร์ SideWalk ได้ถูกนำไปใช้กับมหาวิทยาลัยในฮ่องกงในการโจมตีแบบต่อเนื่องที่บุกรุกคีย์เซิร์ฟเวอร์หลายตัวในสภาพแวดล้อมเครือข่ายของสถาบัน

นักวิจัยจาก ESET ระบุถึงการโจมตีและแบ็คดอร์ของ SparklingGoblin ซึ่งเป็นกลุ่ม APT ภัยคุกคามขั้นสูงที่กำหนดเป้าหมายองค์กรส่วนใหญ่ในเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ โดยเน้นที่ภาคการศึกษา พวกเขากล่าวใน โพสต์บล็อก เผยแพร่ 14 กันยายน

APT ยังเชื่อมโยงกับการโจมตีในหลากหลายองค์กรและอุตสาหกรรมแนวตั้งทั่วโลก และเป็นที่รู้จักสำหรับการใช้แบ็คดอร์ SideWalk และ Crosswalk ในคลังแสงของมัลแวร์ นักวิจัยกล่าว

อันที่จริง การโจมตีมหาวิทยาลัยฮ่องกงเป็นครั้งที่สองที่ SparklingGoblin ตั้งเป้าไปที่สถาบันแห่งนี้ ครั้งแรกในเดือนพฤษภาคม 2020 ระหว่างการประท้วงของนักศึกษากับนักวิจัยของ ESET ครั้งแรกที่ตรวจพบตัวแปร Linux ของ SideWalk ในเครือข่ายของมหาวิทยาลัยในเดือนกุมภาพันธ์ พ.ศ. 2021 โดยไม่ได้ระบุว่าเป็นเช่นนี้จริงๆ พวกเขากล่าว

การโจมตีครั้งล่าสุดดูเหมือนจะเป็นส่วนหนึ่งของแคมเปญต่อเนื่องซึ่งในตอนแรกอาจเริ่มต้นด้วยการใช้ประโยชน์จากกล้อง IP และ/หรือเครื่องบันทึกวิดีโอเครือข่าย (NVR) และอุปกรณ์ DVR โดยใช้ Spectre botnet หรือผ่านเซิร์ฟเวอร์ WordPress ที่มีช่องโหว่ที่พบในเหยื่อ นักวิจัยกล่าวว่าสิ่งแวดล้อม

“SparklingGoblin ได้กำหนดเป้าหมายองค์กรนี้อย่างต่อเนื่องมาเป็นเวลานาน โดยสามารถโจมตีเซิร์ฟเวอร์หลักหลายตัวได้สำเร็จ รวมถึงเซิร์ฟเวอร์การพิมพ์ เซิร์ฟเวอร์อีเมล และเซิร์ฟเวอร์ที่ใช้จัดการกำหนดการของนักเรียนและการลงทะเบียนหลักสูตร” นักวิจัยกล่าว

นอกจากนี้ ปรากฏว่า Spectre RAT ซึ่งจัดทำขึ้นเป็นครั้งแรกโดยนักวิจัยที่ 360 Netlab นั้นเป็นรุ่น SideWalk Linux ดังที่แสดงโดยความคล้ายคลึงกันหลายประการระหว่างตัวอย่างที่ระบุโดยนักวิจัยของ ESET พวกเขากล่าว

SideWalk ลิงค์ไปยัง SparklingGoblin

ทางเท้า เป็นแบ็คดอร์โมดูลาร์ที่สามารถโหลดโมดูลเพิ่มเติมแบบไดนามิกที่ส่งจากเซิร์ฟเวอร์ command-and-control (C2) ใช้ Google Docs เป็นตัวแก้ไข Dead-drop และใช้ Cloudflare เป็นเซิร์ฟเวอร์ C2 นอกจากนี้ยังสามารถจัดการการสื่อสารที่อยู่เบื้องหลังพร็อกซีได้อย่างเหมาะสม

มีความคิดเห็นที่แตกต่างกันในหมู่นักวิจัยเกี่ยวกับกลุ่มภัยคุกคามที่รับผิดชอบแบ็คดอร์ของ SideWalk ในขณะที่ ESET เชื่อมโยงมัลแวร์กับ SparklingGoblin นักวิจัยที่ Symantec กล่าวว่ามันคือ ผลงานของเกรย์ฟลาย (หรือที่รู้จักว่า GREF และ Wicked Panda) ซึ่งเป็น APT ของจีนที่เปิดใช้งานอย่างน้อยในเดือนมีนาคม 2017

ESET เชื่อว่า SideWalk เป็นเอกสิทธิ์ของ SparklingGoblin โดยอาศัย "ความมั่นใจสูง" ในการประเมินนี้ใน "ความคล้ายคลึงกันของโค้ดหลายตัวระหว่างเวอร์ชัน Linux ของ SideWalk และเครื่องมือ SparklingGoblin ต่างๆ" นักวิจัยกล่าว หนึ่งในตัวอย่าง SideWalk Linux ยังใช้ที่อยู่ C2 (66.42.103 [.]222) ที่ SparklingGoblin ใช้ก่อนหน้านี้

นอกจากการใช้แบ็คดอร์ SideWalk และทางม้าลายแล้ว SparklingGoblin ยังเป็นที่รู้จักในเรื่องการปรับใช้ตัวโหลด Motnug และ ChaCha20 PlugX RAT (aka Korplug) และ Cobalt Strike ในการโจมตี

การเริ่มต้นของ SideWalk Linux

นักวิจัยของ ESET ได้จัดทำเอกสารเกี่ยวกับเวอร์ชัน Linux ของ SideWalk ในเดือนกรกฎาคม พ.ศ. 2021 โดยขนานนามว่า "StageClient" เพราะในขณะนั้นพวกเขาไม่ได้ทำการเชื่อมต่อกับ SparklingGoblin และแบ็คดอร์ SideWalk สำหรับ Windows

ในที่สุดพวกเขาก็เชื่อมโยงมัลแวร์เข้ากับแบ็คดอร์ Linux แบบโมดูลาร์ด้วยการกำหนดค่าที่ยืดหยุ่นซึ่งใช้โดยบ็อตเน็ต Spectre ที่ถูกกล่าวถึงใน โพสต์บล็อก โดยนักวิจัยที่ 360 Netlab พบว่า "ฟังก์ชันการทำงาน โครงสร้างพื้นฐาน และสัญลักษณ์ที่ทับซ้อนกันอย่างมากปรากฏอยู่ในไบนารีทั้งหมด" นักวิจัยของ ESET กล่าว

“ความคล้ายคลึงกันเหล่านี้ทำให้เรามั่นใจว่า Spectre และ StageClient มาจากตระกูลมัลแวร์เดียวกัน” พวกเขากล่าวเสริม ในความเป็นจริงทั้งสองเป็นเพียง Linux ที่หลากหลายของ SideWalk ในที่สุดนักวิจัยก็พบว่า ด้วยเหตุผลนี้ ทั้งสองจึงถูกอ้างถึงภายใต้คำว่า SideWalk Linux

อันที่จริง เนื่องจากการใช้ Linux เป็นพื้นฐานสำหรับบริการคลาวด์ โฮสต์เครื่องเสมือน และโครงสร้างพื้นฐานที่ใช้คอนเทนเนอร์บ่อยครั้ง ผู้โจมตี กำลังมุ่งเป้าไปที่ Linux . มากขึ้น สภาพแวดล้อมที่มีช่องโหว่และมัลแวร์ที่ซับซ้อน สิ่งนี้ได้ก่อให้เกิด มัลแวร์ลินุกซ์ ที่มีเอกลักษณ์เฉพาะสำหรับ OS หรือสร้างขึ้นเพื่อเสริมในเวอร์ชัน Windows ซึ่งแสดงให้เห็นว่าผู้โจมตีมองเห็นโอกาสที่เพิ่มขึ้นในการกำหนดเป้าหมายซอฟต์แวร์โอเพ่นซอร์ส

เปรียบเทียบกับเวอร์ชั่น Windows

ในส่วนของ SideWalk Linux มีความคล้ายคลึงกันมากมายกับมัลแวร์เวอร์ชัน Windows โดยนักวิจัยได้สรุปเฉพาะสิ่งที่ "โดดเด่น" ที่สุดในโพสต์ของพวกเขาเท่านั้น

คู่ขนานที่เห็นได้ชัดอย่างหนึ่งคือการใช้งานการเข้ารหัส ChaCha20 โดยทั้งสองตัวแปรใช้ตัวนับที่มีค่าเริ่มต้นเป็น “0x0B” ซึ่งเป็นคุณลักษณะที่นักวิจัยของ ESET ระบุไว้ก่อนหน้านี้ คีย์ ChaCha20 เหมือนกันทุกประการในทั้งสองรุ่น เสริมความแข็งแกร่งให้กับการเชื่อมต่อระหว่างทั้งสอง

SideWalk ทั้งสองเวอร์ชันยังใช้หลายเธรดเพื่อทำงานเฉพาะ แต่ละเธรดมีห้าเธรด — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend และ StageClient::ThreadBizMsgHandler — ดำเนินการพร้อมกันโดยแต่ละฟังก์ชันจะทำหน้าที่เฉพาะภายในแบ็คดอร์ตาม ESET

ความคล้ายคลึงกันอีกประการระหว่างสองเวอร์ชันคือ payload ของตัวแก้ไข dead-drop หรือเนื้อหาที่เป็นปฏิปักษ์ที่โพสต์บนบริการเว็บที่มีโดเมนฝังตัวหรือที่อยู่ IP จะเหมือนกันในทั้งสองตัวอย่าง นักวิจัยกล่าวว่าตัวคั่น - อักขระที่เลือกเพื่อแยกองค์ประกอบหนึ่งในสตริงจากองค์ประกอบอื่น - ของทั้งสองเวอร์ชันก็เหมือนกันเช่นเดียวกับอัลกอริธึมการถอดรหัส

นักวิจัยยังพบข้อแตกต่างที่สำคัญระหว่าง SideWalk Linux และ Windows ที่เป็นคู่กัน หนึ่งคือในตัวแปร SideWalk Linux โมดูลถูกสร้างขึ้นและไม่สามารถดึงจากเซิร์ฟเวอร์ C2 ในทางกลับกัน เวอร์ชัน Windows มีฟังก์ชันในตัวที่ทำงานโดยตรงโดยฟังก์ชันเฉพาะภายในมัลแวร์ นักวิจัยกล่าวว่าปลั๊กอินบางตัวสามารถเพิ่มผ่านการสื่อสาร C2 ใน SideWalk เวอร์ชัน Windows ได้

นักวิจัยพบว่าแต่ละเวอร์ชันทำการหลีกเลี่ยงการป้องกันในลักษณะที่แตกต่างกันเช่นกัน SideWalk รุ่นต่างๆ ของ Windows “พยายามอย่างเต็มที่เพื่อปกปิดวัตถุประสงค์ของรหัส” โดยตัดข้อมูลและรหัสทั้งหมดที่ไม่จำเป็นสำหรับการดำเนินการออก เข้ารหัสส่วนที่เหลือ

ตัวแปรลินุกซ์ทำให้การตรวจจับและวิเคราะห์แบ็คดอร์ “ง่ายขึ้นอย่างมาก” โดยการใส่สัญลักษณ์และปล่อยให้คีย์การพิสูจน์ตัวตนที่ไม่ซ้ำใครและอาร์ติแฟกต์อื่นๆ ไม่ถูกเข้ารหัส นักวิจัยกล่าว

"นอกจากนี้ จำนวนฟังก์ชันแบบอินไลน์ในเวอร์ชัน Windows ที่สูงกว่ามาก แสดงให้เห็นว่าโค้ดของมันถูกคอมไพล์ด้วยระดับการเพิ่มประสิทธิภาพคอมไพเลอร์ในระดับที่สูงขึ้น" พวกเขากล่าวเสริม