SideWalk arka kapısının yeni bir Linux sürümü, bir Hong Kong üniversitesine karşı, kurumun ağ ortamının anahtarı olan birden çok sunucuyu tehlikeye atan kalıcı bir saldırıyla konuşlandırıldı.
ESET'ten araştırmacılar, saldırıyı ve arka kapıyı, akademik sektöre odaklanan, çoğunlukla Doğu ve Güneydoğu Asya'daki kuruluşları hedefleyen gelişmiş bir kalıcı tehdit (APT) grubu olan SparklingGoblin'e bağladılar. blog yazısı 14 Eylül'de yayınlandı.
Araştırmacılar, APT'nin ayrıca dünya çapında çok çeşitli kuruluşlara ve dikey sektörlere yönelik saldırılarla bağlantılı olduğunu ve SideWalk ve Crosswalk arka kapılarını kötü amaçlı yazılım cephaneliğinde kullanmasıyla tanındığını söyledi.
Aslında, Hong Kong üniversitesine yapılan saldırı, SparklingGoblin'in bu özel kurumu ikinci kez hedef almasıdır; ilki, ESET araştırmacılarıyla birlikte, öğrenci protestoları sırasında Mayıs 2020'de gerçekleşti. ilk önce Linux varyantını tespit etmek SideWalk'ın üniversite ağında Şubat 2021'de, gerçekte böyle tanımlamadan, dediler.
En son saldırı, başlangıçta IP kameralar ve/veya ağ video kaydedici (NVR) ve DVR cihazlarının Spectre botnetini kullanarak veya kurbanın bilgisayarında bulunan savunmasız bir WordPress sunucusu aracılığıyla istismar edilmesiyle başlamış olabilecek sürekli bir kampanyanın parçası gibi görünüyor. Araştırmacılar, çevre dedi.
Araştırmacılar, "SparklingGoblin, bir baskı sunucusu, bir e-posta sunucusu ve öğrenci programlarını ve ders kayıtlarını yönetmek için kullanılan bir sunucu da dahil olmak üzere birden çok anahtar sunucudan başarıyla ödün vererek, bu organizasyonu uzun bir süre boyunca sürekli olarak hedeflemiştir" dedi.
Üstelik, ilk olarak 360 Netlab'daki araştırmacılar tarafından belgelenen Spectre RAT'ın, ESET araştırmacıları tarafından tanımlanan örnek arasındaki çoklu ortak noktaların gösterdiği gibi, aslında bir SideWalk Linux varyantı olduğu anlaşılıyor.
SparklingGoblin'e SideWalk Bağlantıları
Kaldırım komuta ve kontrol (C2) sunucusundan gönderilen ek modülleri dinamik olarak yükleyebilen, bir çıkmaz çözümleyici olarak Google Dokümanlar'ı kullanan ve bir C2 sunucusu olarak Cloudflare kullanan modüler bir arka kapıdır. Ayrıca bir proxy arkasındaki iletişimi düzgün bir şekilde yönetebilir.
SideWalk arka kapısından hangi tehdit grubunun sorumlu olduğu konusunda araştırmacılar arasında farklı görüşler var. ESET, kötü amaçlı yazılımı SparklingGoblin'e bağlarken, Symantec'teki araştırmacılar öyle dedi Grayfly'ın çalışması (aka GREF ve Wicked Panda), en az Mart 2017'den beri aktif olan bir Çinli APT.
ESET, SideWalk'ın SparklingGoblin'e özel olduğuna inanıyor ve bu değerlendirmedeki "yüksek güvenini" "SideWalk'ın Linux varyantları ile çeşitli SparklingGoblin araçları arasındaki çoklu kod benzerliklerine" dayandırıyor. SideWalk Linux örneklerinden biri de daha önce SparklingGoblin tarafından kullanılan bir C2 adresi (66.42.103[.]222) kullanıyor, diye eklediler.
SideWalk ve Crosswalk arka kapılarını kullanmanın yanı sıra SparklingGoblin, Motnug ve ChaCha20 tabanlı yükleyicileri dağıtmasıyla da tanınır. PlugX RAT (aka Korplug) ve saldırılarında Kobalt Strike.
SideWalk Linux'un Başlangıcı
ESET araştırmacıları, SideWalk'ın Linux varyantını ilk olarak Temmuz 2021'de belgelediler ve o sırada SparklingGoblin ve Windows için SideWalk arka kapısı ile bağlantı kurmadıkları için "StageClient" adını verdiler.
Sonunda kötü amaçlı yazılımı, bir makalede bahsedilen Spectre botnet'i tarafından kullanılan esnek yapılandırmaya sahip modüler bir Linux arka kapısına bağladılar. blog yazısı ESET araştırmacıları, 360 Netlab'daki araştırmacılar tarafından "tüm ikili dosyalarda bulunan işlevsellik, altyapı ve sembollerde büyük bir örtüşme" bulunduğunu söyledi.
"Bu benzerlikler bizi Spectre ve StageClient'in aynı kötü amaçlı yazılım ailesinden olduğuna ikna ediyor" diye eklediler. Aslında, her ikisi de SideWalk'ın sadece Linux'u, araştırmacılar sonunda buldu. Bu nedenle, her ikisi de artık SideWalk Linux çatı terimi altında anılmaktadır.
Aslında, bulut hizmetleri, sanal makine ana bilgisayarları ve konteyner tabanlı altyapı için temel olarak Linux'un sık kullanımı göz önüne alındığında, saldırganlar giderek daha fazla Linux'u hedefliyor Gelişmiş açıklardan yararlanma ve kötü amaçlı yazılım içeren ortamlar. Bu yol açmıştır Linux kötü amaçlı yazılımı Bu, hem işletim sistemine özel hem de Windows sürümlerinin tamamlayıcısı olarak oluşturulmuş olup, saldırganların açık kaynaklı yazılımı hedeflemek için artan bir fırsat gördüğünü gösterir.
Windows Sürümüyle Karşılaştırma
Araştırmacılar, SideWalk Linux'un kötü amaçlı yazılımın Windows sürümüyle çok sayıda benzerliğe sahip olduğunu ve araştırmacıların yazılarında yalnızca en "çarpıcı" olanları özetlediğini söyledi.
Açık bir paralellik, her iki varyantın da ESET araştırmacıları tarafından daha önce belirtilen bir özellik olan "20x0B" başlangıç değerine sahip bir sayaç kullanan ChaCha0 şifreleme uygulamalarıdır. ChaCha20 anahtarının her iki varyantta da tamamen aynı olduğunu ve ikisi arasındaki bağlantıyı güçlendirdiğini eklediler.
SideWalk'ın her iki sürümü de belirli görevleri yürütmek için birden çok iş parçacığı kullanır. Her birinin tam olarak beş iş parçacığı vardır - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend ve StageClient::ThreadBizMsgHandler - aynı anda yürütülür ve her biri ESET'e göre arka kapıya özgü belirli bir işlevi gerçekleştirir.
İki sürüm arasındaki diğer bir benzerlik, ölü çözümleyici yükünün - veya gömülü etki alanları veya IP adresleri ile Web hizmetlerinde yayınlanan düşmanca içeriğin - her iki örnekte de aynı olmasıdır. Araştırmacılar, her iki versiyonun da bir dizideki bir öğeyi başka bir öğeden ayırmak için seçilen karakterlerin sınırlayıcılarının ve kod çözme algoritmalarının da aynı olduğunu söyledi.
Araştırmacılar ayrıca SideWalk Linux ve Windows karşılığı arasında önemli farklılıklar buldular. Birincisi, SideWalk Linux türevlerinde modüllerin yerleşik olmasıdır ve C2 sunucusundan alınamaz. Öte yandan Windows sürümü, doğrudan kötü amaçlı yazılım içindeki özel işlevler tarafından yürütülen yerleşik işlevlere sahiptir. Araştırmacılar, SideWalk'ın Windows sürümünde C2 iletişimi yoluyla bazı eklentilerin de eklenebileceğini söyledi.
Araştırmacılar, her versiyonun savunmadan kaçınmayı farklı bir şekilde gerçekleştirdiğini buldu. SideWalk'ın Windows varyantı, yürütülmesi için gereksiz olan tüm verileri ve kodları kırparak ve gerisini şifreleyerek "kodunun amaçlarını gizlemek için büyük çaba harcıyor".
Araştırmacılar, Linux varyantlarının semboller içererek ve bazı benzersiz kimlik doğrulama anahtarlarını ve diğer eserleri şifrelenmemiş bırakarak arka kapının tespitini ve analizini "önemli ölçüde kolaylaştırdığını" söyledi.
"Ayrıca, Windows varyantındaki çok daha fazla sayıda satır içi işlev, kodunun daha yüksek düzeyde derleyici optimizasyonu ile derlendiğini gösteriyor" diye eklediler.
