Một phiên bản Linux mới của cửa hậu SideWalk đã được triển khai chống lại một trường đại học Hồng Kông trong một cuộc tấn công dai dẳng làm xâm nhập nhiều máy chủ khóa vào môi trường mạng của tổ chức.
Các nhà nghiên cứu từ ESET cho rằng cuộc tấn công và cửa hậu là do SparklingGoblin, một nhóm mối đe dọa dai dẳng tiên tiến (APT) nhắm mục tiêu vào các tổ chức chủ yếu ở Đông và Đông Nam Á, tập trung vào lĩnh vực học thuật, họ cho biết trong một blog đăng bài xuất bản ngày 14 tháng XNUMX.
Các nhà nghiên cứu cho biết APT cũng có liên quan đến các cuộc tấn công vào một loạt các tổ chức và ngành dọc trên toàn thế giới, và được biết đến với việc sử dụng các cửa hậu SideWalk và Crosswalk trong kho chứa phần mềm độc hại.
Trên thực tế, cuộc tấn công vào trường đại học Hồng Kông là lần thứ hai SparklingGoblin nhắm mục tiêu vào học viện cụ thể này; lần đầu tiên vào tháng 2020 năm XNUMX trong cuộc biểu tình của sinh viên, với các nhà nghiên cứu ESET lần đầu tiên phát hiện biến thể Linux của SideWalk trong mạng của trường đại học vào tháng 2021 năm XNUMX mà không thực sự xác định nó như vậy, họ nói.
Cuộc tấn công mới nhất dường như là một phần của chiến dịch liên tục mà ban đầu có thể bắt đầu bằng việc khai thác camera IP và / hoặc thiết bị ghi video mạng (NVR) và DVR, sử dụng botnet Spectre hoặc thông qua máy chủ WordPress dễ bị tấn công được tìm thấy trong máy nạn nhân môi trường, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu cho biết: “SparklingGoblin đã liên tục nhắm mục tiêu vào tổ chức này trong một thời gian dài, xâm nhập thành công nhiều máy chủ chính, bao gồm máy chủ in, máy chủ email và máy chủ được sử dụng để quản lý lịch trình và đăng ký khóa học của sinh viên.
Hơn nữa, hiện tại dường như Spectre RAT, được các nhà nghiên cứu tại 360 Netlab ghi lại lần đầu tiên, thực sự là một biến thể của SideWalk Linux, thể hiện qua nhiều điểm chung giữa mẫu được các nhà nghiên cứu ESET xác định, họ cho biết.
Liên kết SideWalk đến SparklingGoblin
Đường đi bộ là một cửa hậu mô-đun có thể tự động tải các mô-đun bổ sung được gửi từ máy chủ lệnh và kiểm soát (C2) của nó, sử dụng Google Tài liệu làm trình giải quyết lỗi và sử dụng Cloudflare làm máy chủ C2. Nó cũng có thể xử lý đúng cách giao tiếp đằng sau proxy.
Có nhiều ý kiến khác nhau giữa các nhà nghiên cứu về nhóm mối đe dọa nào chịu trách nhiệm cho cửa hậu SideWalk. Trong khi ESET liên kết phần mềm độc hại với SparklingGoblin, các nhà nghiên cứu tại Symantec nói rằng nó là công việc của Grayfly (hay còn gọi là GREF và Wicked Panda), một APT của Trung Quốc hoạt động ít nhất từ tháng 2017 năm XNUMX.
ESET tin rằng SideWalk là độc quyền cho SparklingGoblin, dựa trên “độ tin cậy cao” trong đánh giá này dựa trên “nhiều điểm tương đồng về mã giữa các biến thể Linux của SideWalk và các công cụ SparklingGoblin khác nhau,” các nhà nghiên cứu cho biết. Họ cho biết thêm, một trong những mẫu SideWalk Linux cũng sử dụng địa chỉ C2 (66.42.103 [.] 222).
Ngoài việc sử dụng các cửa hậu SideWalk và Crosswalk, SparklingGoblin còn được biết đến với việc triển khai các trình tải dựa trên Motnug và ChaCha20, PlugX RAT (hay còn gọi là Korplug), và Cobalt Strike trong các cuộc tấn công của nó.
Sự ra đời của SideWalk Linux
Các nhà nghiên cứu của ESET lần đầu tiên ghi nhận biến thể Linux của SideWalk vào tháng 2021 năm XNUMX, đặt tên cho nó là “StageClient” vì vào thời điểm đó, họ không tạo kết nối với SparklingGoblin và cửa hậu SideWalk dành cho Windows.
Cuối cùng, họ đã liên kết phần mềm độc hại với một cửa hậu Linux dạng mô-đun với cấu hình linh hoạt đang được sử dụng bởi mạng botnet Spectre đã được đề cập trong một báo cáo. blog đăng bài bởi các nhà nghiên cứu tại 360 Netlab, các nhà nghiên cứu của ESET cho biết “có sự chồng chéo lớn về chức năng, cơ sở hạ tầng và các ký hiệu có trong tất cả các tệp nhị phân”.
“Những điểm tương đồng này thuyết phục chúng tôi rằng Spectre và StageClient thuộc cùng một họ phần mềm độc hại,” họ nói thêm. Trên thực tế, cả hai đều chỉ là Linux khác nhau của SideWalk, các nhà nghiên cứu cuối cùng đã tìm thấy. Vì lý do này, cả hai bây giờ được gọi dưới thuật ngữ chung SideWalk Linux.
Thật vậy, với việc sử dụng thường xuyên Linux làm nền tảng cho các dịch vụ đám mây, máy chủ máy ảo và cơ sở hạ tầng dựa trên vùng chứa, những kẻ tấn công đang ngày càng nhắm mục tiêu đến Linux môi trường có phần mềm độc hại và khai thác tinh vi. Điều này đã làm phát sinh Phần mềm độc hại Linux đó là cả duy nhất cho hệ điều hành hoặc được xây dựng như một bổ sung cho các phiên bản Windows, chứng tỏ rằng những kẻ tấn công nhận thấy cơ hội ngày càng tăng để nhắm mục tiêu phần mềm nguồn mở.
So sánh với phiên bản Windows
Về phần mình, SideWalk Linux có nhiều điểm tương đồng với phiên bản Windows của phần mềm độc hại, với các nhà nghiên cứu chỉ phác thảo những cái "nổi bật" nhất trong bài đăng của họ, các nhà nghiên cứu cho biết.
Một điểm song song rõ ràng là việc triển khai mã hóa ChaCha20, với cả hai biến thể đều sử dụng bộ đếm có giá trị ban đầu là “0x0B” - một đặc điểm đã được các nhà nghiên cứu ESET lưu ý trước đây. Khóa ChaCha20 hoàn toàn giống nhau trong cả hai biến thể, tăng cường kết nối giữa cả hai, họ nói thêm.
Cả hai phiên bản của SideWalk cũng sử dụng nhiều luồng để thực thi các tác vụ cụ thể. Mỗi chúng có chính xác năm luồng - StageClient :: ThreadNetworkReverse, StageClient :: ThreadHeartDetect, StageClient :: ThreadPollingDriven, ThreadBizMsgSend và StageClient :: ThreadBizMsgHandler - được thực thi đồng thời để mỗi bên thực hiện một chức năng cụ thể nội tại của backdoor, theo ESET.
Một điểm tương đồng khác giữa hai phiên bản là tải trọng của trình phân giải dead-drop - hoặc nội dung đối nghịch được đăng trên các dịch vụ Web có tên miền hoặc địa chỉ IP được nhúng - giống hệt nhau trong cả hai mẫu. Các dấu phân cách - các ký tự được chọn để phân tách một phần tử trong chuỗi với một phần tử khác - của cả hai phiên bản cũng giống hệt nhau, cũng như các thuật toán giải mã của chúng, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu cũng tìm thấy những điểm khác biệt chính giữa SideWalk Linux và đối tác Windows của nó. Một là trong các biến thể SideWalk Linux, các mô-đun được tích hợp sẵn và không thể tìm nạp được từ máy chủ C2. Mặt khác, phiên bản Windows có các chức năng tích hợp được thực thi trực tiếp bởi các chức năng chuyên dụng trong phần mềm độc hại. Một số plug-in cũng có thể được thêm vào thông qua giao tiếp C2 trong phiên bản Windows của SideWalk, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu phát hiện ra rằng mỗi phiên bản đều thực hiện khả năng tránh né phòng thủ theo một cách khác nhau. Biến thể Windows của SideWalk “đi rất nhiều thời gian để che giấu các mục tiêu của mã của nó” bằng cách cắt bỏ tất cả dữ liệu và mã không cần thiết để thực thi, mã hóa phần còn lại.
Các nhà nghiên cứu cho biết, các biến thể Linux giúp việc phát hiện và phân tích backdoor “dễ dàng hơn đáng kể” bằng cách chứa các ký hiệu và để lại một số khóa xác thực duy nhất và các hiện vật khác không được mã hóa.
“Ngoài ra, số lượng hàm nội tuyến trong biến thể Windows cao hơn nhiều cho thấy rằng mã của nó đã được biên dịch với mức tối ưu hóa trình biên dịch cao hơn,” họ nói thêm.
