Нова версія бекдору SideWalk для Linux була застосована проти університету Гонконгу під час постійної атаки, яка скомпрометувала кілька серверів, ключових для мережевого середовища навчального закладу.
Дослідники з ESET пояснили атаку та бекдор SparklingGoblin, групою передових постійних загроз (APT), яка націлена на організації переважно у Східній та Південно-Східній Азії, зосереджуючись на академічному секторі, повідомили вони в блог опубліковано 14 вер.
APT також був пов’язаний з атаками на широкий спектр організацій і вертикальних галузей у всьому світі, і відомий використанням бекдорів SideWalk і Crosswalk у своєму арсеналі зловмисного програмного забезпечення, кажуть дослідники.
Насправді напад на університет Гонконгу є другим випадком, коли SparklingGoblin атакує саме цей заклад; перший був у травні 2020 року під час студентських протестів із дослідниками ESET перший виявлення варіанту Linux SideWalk в мережі університету в лютому 2021 року, фактично не ідентифікуючи його як такий, сказали вони.
Схоже, остання атака є частиною безперервної кампанії, яка спочатку могла початися з використанням IP-камер і/або мережевих відеореєстраторів (NVR) і DVR пристроїв за допомогою ботнету Spectre або через вразливий сервер WordPress, знайдений у жертві. середовища, кажуть дослідники.
«SparklingGoblin протягом тривалого періоду постійно націлювався на цю організацію, успішно скомпрометувавши кілька ключових серверів, включаючи сервер друку, сервер електронної пошти та сервер, який використовувався для керування розкладом студентів і реєстрацією на курси», — заявили дослідники.
Крім того, тепер виявляється, що Spectre RAT, вперше задокументований дослідниками з 360 Netlab, насправді є варіантом SideWalk Linux, як показали численні спільні риси між зразком, визначеним дослідниками ESET, вони сказали.
SideWalk Посилання на SparklingGoblin
Тротуар це модульний бекдор, який може динамічно завантажувати додаткові модулі, надіслані з його командно-контрольного (C2) сервера, використовує Google Docs як мертвий розв’язувач і використовує Cloudflare як сервер C2. Він також може належним чином обробляти зв’язок за проксі.
Серед дослідників існують різні думки щодо того, яка група загроз відповідає за бекдор SideWalk. Хоча ESET пов’язує зловмисне програмне забезпечення з SparklingGoblin, дослідники Symantec сказав, що так робота Grayfly (він же GREF і Wicked Panda), китайський APT, активний щонайменше з березня 2017 року.
ESET вважає, що SideWalk є ексклюзивним для SparklingGoblin, засновуючи свою «високу впевненість» у цій оцінці на «кількох схожих кодах між варіантами SideWalk для Linux і різними інструментами SparklingGoblin», – кажуть дослідники. Один із зразків SideWalk Linux також використовує адресу C2 (66.42.103[.]222), яка раніше використовувалася SparklingGoblin, додали вони.
Крім використання бекдорів SideWalk і Crosswalk, SparklingGoblin також відомий розгортанням завантажувачів на основі Motnug і ChaCha20, PlugX RAT (він же Korplug) і Cobalt Strike у своїх атаках.
Початок SideWalk Linux
Дослідники ESET вперше задокументували Linux-варіант SideWalk у липні 2021 року, назвавши його «StageClient», оскільки на той момент вони не підключилися до SparklingGoblin і бекдору SideWalk для Windows.
Зрештою вони пов’язали зловмисне програмне забезпечення з модульним бекдором Linux із гнучкою конфігурацією, що використовується ботнетом Spectre, згаданим у блог Дослідники з 360 Netlab виявили «велике збігання у функціональності, інфраструктурі та символах, присутніх у всіх двійкових файлах», — заявили дослідники ESET.
«Ця схожість переконує нас, що Spectre і StageClient належать до одного сімейства шкідливих програм», — додали вони. Насправді, дослідники врешті-решт з’ясували, що обидва — це лише різноманіття SideWalk у Linux. З цієї причини обидва тепер називаються під загальним терміном SideWalk Linux.
Справді, враховуючи часте використання Linux як основи для хмарних служб, хостів віртуальних машин та інфраструктури на основі контейнерів, зловмисники все більше орієнтуються на Linux середовища зі складними експлойтами та зловмисним програмним забезпеченням. Це породило Шкідливе програмне забезпечення Linux це як унікальне для ОС, так і створене як доповнення до версій Windows, демонструючи, що зловмисники бачать зростаючу можливість націлитися на програмне забезпечення з відкритим кодом.
Порівняння з версією Windows
Зі свого боку, SideWalk Linux має багато подібностей до версії зловмисного програмного забезпечення для Windows, причому дослідники окреслили лише найбільш «вражаючі» з них у своїй публікації, кажуть дослідники.
Однією з очевидних паралелей є впровадження шифрування ChaCha20, причому в обох варіантах використовується лічильник із початковим значенням «0x0B» — характеристика, яку раніше відзначали дослідники ESET. Ключ ChaCha20 абсолютно однаковий в обох варіантах, що посилює зв’язок між ними, додали вони.
Обидві версії SideWalk також використовують кілька потоків для виконання певних завдань. Кожен із них має рівно п’ять потоків — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend і StageClient::ThreadBizMsgHandler — які виконуються одночасно, кожен з яких виконує певну функцію, притаманну бекдору, згідно з ESET.
Ще одна подібність між двома версіями полягає в тому, що корисне навантаження розв’язувача мертвої точки — або змагальний вміст, розміщений у веб-службах із вбудованими доменами чи IP-адресами — ідентичний в обох зразках. Роздільники — символи, вибрані для відділення одного елемента в рядку від іншого елемента — обох версій також ідентичні, як і їхні алгоритми декодування, кажуть дослідники.
Дослідники також знайшли ключові відмінності між SideWalk Linux і його аналогом Windows. Одна полягає в тому, що у варіантах SideWalk Linux модулі є вбудованими і не можуть бути отримані з сервера C2. Версія для Windows, з іншого боку, має вбудовані функції, які виконуються безпосередньо спеціальними функціями зловмисного програмного забезпечення. За словами дослідників, деякі плагіни також можуть бути додані через комунікації C2 у версії SideWalk для Windows.
Дослідники виявили, що кожна версія виконує ухилення від захисту по-різному. Варіант SideWalk для Windows «докладає великих зусиль, щоб приховати цілі свого коду», видаляючи всі дані та код, які були непотрібними для його виконання, шифруючи решту.
За словами дослідників, варіанти Linux значно полегшують виявлення та аналіз бекдору, оскільки містять символи та залишають деякі унікальні ключі автентифікації та інші артефакти незашифрованими.
«Крім того, набагато більша кількість вбудованих функцій у варіанті Windows свідчить про те, що його код було скомпільовано з вищим рівнем оптимізації компілятора», — додали вони.
