新的 Linux 版本的 SideWalk 后门已针对香港一所大学进行了持续攻击,破坏了该机构网络环境的多台关键服务器。
ESET 的研究人员在一份报告中表示,此次攻击和后门是 SparklingGoblin 所为,这是一个高级持续威胁 (APT) 组织,主要针对东亚和东南亚的组织,重点关注学术领域。 博客文章 14 月 XNUMX 日发布。
研究人员表示,APT 还与针对世界各地广泛组织和垂直行业的攻击有关,并因其在恶意软件库中使用 SideWalk 和 Crosswalk 后门而闻名。
事实上,针对香港大学的袭击是 SparklingGoblin 第二次针对这所特定机构; 第一次是在 2020 年 XNUMX 月学生抗议期间,ESET 研究人员 首先检测Linux变种 他们表示,SideWalk 于 2021 年 XNUMX 月出现在大学网络中,但并未实际识别出来。
最新的攻击似乎是持续活动的一部分,该活动最初可能是通过使用 Spectre 僵尸网络或通过受害者网站中发现的易受攻击的 WordPress 服务器,利用 IP 摄像机和/或网络视频录像机 (NVR) 和 DVR 设备开始的。研究人员表示,环境。
研究人员表示:“SparklingGoblin 长期以来一直以该组织为目标,成功入侵了多个关键服务器,包括打印服务器、电子邮件服务器以及用于管理学生日程和课程注册的服务器。”
此外,他们表示,现在看来,360 Netlab 研究人员首次记录的 Spectre RAT 实际上是 SideWalk Linux 变体,正如 ESET 研究人员识别的样本之间的多个共性所示。
SideWalk 链接到 SparklingGoblin
人行道 是一个模块化后门,可以动态加载从其命令和控制 (C2) 服务器发送的附加模块,利用 Google Docs 作为死点解析器,并使用 Cloudflare 作为 C2 服务器。 它还可以正确处理代理后面的通信。
对于哪个威胁组织对 SideWalk 后门负责,研究人员之间存在不同意见。 虽然 ESET 将恶意软件链接到 SparklingGoblin, 赛门铁克的研究人员 说是 灰蝇的作品 (又名 GREF 和 Wicked Panda),是至少自 2017 年 XNUMX 月以来活跃的中国 APT。
研究人员表示,ESET 认为 SideWalk 是 SparklingGoblin 独有的,其基于“SideWalk 的 Linux 变体与各种 SparklingGoblin 工具之间的多个代码相似性”的评估“高度可信”。 他们补充说,SideWalk Linux 样本之一还使用了 SparklingGoblin 之前使用的 C2 地址 (66.42.103[.]222)。
除了使用 SideWalk 和 Crosswalk 后门之外,SparklingGoblin 还因部署基于 Motnug 和 ChaCha20 的加载器而闻名, PlugX RAT (又名 Korplug),以及 Cobalt Strike 的攻击。
SideWalk Linux 的诞生
ESET 研究人员于 2021 年 XNUMX 月首次记录了 SideWalk 的 Linux 变体,并将其称为“StageClient”,因为他们当时没有与 Windows 的 SparklingGoblin 和 SideWalk 后门建立连接。
他们最终将恶意软件链接到模块化 Linux 后门,该后门具有灵活的配置,由 Spectre 僵尸网络使用,该僵尸网络在 博客文章 ESET 研究人员表示,360 Netlab 的研究人员发现“所有二进制文件中存在的功能、基础设施和符号存在巨大重叠”。
“这些相似之处让我们相信 Spectre 和 StageClient 来自同一个恶意软件家族,”他们补充道。 研究人员最终发现,事实上,两者都只是 SideWalk 的 Linux 版本。 因此,两者现在都被统称为 SideWalk Linux。
事实上,鉴于 Linux 经常被用作云服务、虚拟机主机和基于容器的基础设施的基础,攻击者 越来越多地瞄准Linux 具有复杂漏洞和恶意软件的环境。 这引发了 Linux恶意软件 这既是操作系统独有的,又是作为 Windows 版本的补充而构建的,这表明攻击者看到了针对开源软件的越来越多的机会。
与 Windows 版本的比较
研究人员表示,就其本身而言,SideWalk Linux 与 Windows 版本的恶意软件有许多相似之处,研究人员在帖子中仅概述了最“引人注目”的部分。
一个明显的相似之处是 ChaCha20 加密的实现,两种变体都使用初始值为“0x0B”的计数器——ESET 研究人员之前注意到的这一特征。 他们补充说,两种变体的 ChaCha20 密钥完全相同,从而加强了两者之间的联系。
SideWalk 的两个版本都使用多线程来执行特定任务。 根据 ESET 的说法,它们每个都有 XNUMX 个线程——StageClient::ThreadNetworkReverse、StageClient::ThreadHeartDetect、StageClient::ThreadPollingDriven、ThreadBizMsgSend 和 StageClient::ThreadBizMsgHandler——同时执行,每个线程执行后门固有的特定功能。
这两个版本之间的另一个相似之处是,两个样本中的死点解析器有效负载(或发布在具有嵌入域或 IP 地址的 Web 服务上的对抗性内容)是相同的。 研究人员表示,两个版本的分隔符(用于将字符串中的一个元素与另一个元素分开的字符)以及它们的解码算法也是相同的。
研究人员还发现了 SideWalk Linux 和 Windows 版本之间的关键区别。 一是在 SideWalk Linux 变体中,模块是内置的,无法从 C2 服务器获取。 另一方面,Windows 版本具有由恶意软件中的专用函数直接执行的内置功能。 研究人员表示,一些插件还可以通过 Windows 版本的 SideWalk 中的 C2 通信添加。
研究人员发现,每个版本也以不同的方式执行防御规避。 SideWalk 的 Windows 变体“竭尽全力隐藏其代码的目标”,删除执行过程中不需要的所有数据和代码,并对其余部分进行加密。
研究人员表示,Linux 变体通过包含符号并保留一些独特的身份验证密钥和其他未加密的工件,使后门的检测和分析“变得更加容易”。
“此外,Windows 变体中内联函数的数量要多得多,这表明其代码是使用更高级别的编译器优化来编译的,”他们补充道。
