Devlet destekli Çinli bilgisayar korsanları, akademik sektördeki hedeflere ait Windows sistemlerine karşı kullanılan SideWalk arka kapısı için bir Linux varyantı geliştirdi.
Kötü amaçlı yazılım, APT41 siber casusluk grubuna bağlı olduğuna inanılan Earth Baku olarak da izlenen SparklingGoblin tehdit grubuna yüksek güvenle atfediliyor.
Akademik sektörü hedeflemek
SideWalk Linux arka kapısı geçmişte gözlemlendi ve başlangıçta siber güvenlik şirketi ESET’teki güvenlik araştırmacıları tarafından StageClient olarak izlendi.
Kötü amaçlı yazılımın erken bir çeşidi, Çinli internet güvenlik şirketi Qihoo 360’ın tehdit istihbarat ekibi olan 360 Netlab’daki araştırmacılar tarafından tespit edildi ve iki yıl önce bir Blog yazısı IP kameralara isabet eden Spectre botnet hakkında.
ESET araştırmacıları, Spectre ve StageClient’i analiz ettikten sonra, her iki kötü amaçlı yazılım parçasının da aynı köke sahip olduğunu ve SideWalk’ın Linux türevleri olduğunu belirledi.
2021’de Trend Micro araştırmacıları, SideWalk arka kapısı da dahil olmak üzere APT41/Earth Bakü’ye atfedilen bir siber casusluk kampanyasından yeni araçları belgelediler. ScrambleCross.
ESET bugün yayınladığı bir raporda, SideWalk Linux’un geçmişte birden fazla hedefe karşı kullanılmış olmasına rağmen, telemetri verilerinin keşfettikleri varyantın Şubat 2021’de Hong Kong’daki bir üniversite olan yalnızca bir kurbana karşı kullanıldığını gösterdiğini belirtiyor.
SparkGoblin, Mayıs 2020’de aynı üniversiteden ödün vererek geçmişte aynı hedefe odaklandı. öğrenci protestoları.
“Grup, bir baskı sunucusu, bir e-posta sunucusu ve öğrenci programlarını ve ders kayıtlarını yönetmek için kullanılan bir sunucu da dahil olmak üzere birden çok anahtar sunucudan başarıyla ödün vererek uzun bir süre boyunca sürekli olarak bu organizasyonu hedef aldı” – ESET
SparklingGoblin çoğunlukla Doğu ve Güneydoğu Asya’daki hedeflere saldırıyor olsa da, grup bu bölgelerin dışındaki organizasyonları da vuruyor ve odak noktası akademik sektör.
Windows için SideWalk Linux için hazır
Linux ve Windows için SideWalk türevlerine bakıldığında ESET, çalışma biçimleri, birden çok bileşenin uygulanması ve güvenliği ihlal edilen sisteme düşen yükler açısından “çarpıcı” benzerlikler fark etti.
Araştırmacılar, her iki varyantın da, SideWalk’a özgü bir şey olan “başlangıç değeri 0x0B olan bir sayaç kullanmak” için ChaCha20 şifreleme algoritmasını uyguladığını söylüyor.
Hem Windows hem de Linux’ta kötü amaçlı yazılım, belirli görevler için aynı anda yürütülen aynı beş iş parçacığını kullanır:
- [StageClient::ThreadNetworkReverse] – komut ve kontrol (C2) sunucusuna alternatif bağlantılar için proxy yapılandırmalarının getirilmesi
- [StageClient::ThreadHeartDetect] – belirtilen sürede komutlar alınmadığında C2 sunucusuna bağlantıyı kapatın
- [StageClient::ThreadPollingDriven] – teslim edilecek bilgi yoksa kalp atışı komutlarını C2 sunucusuna gönderin
- [StageClient::ThreadBizMsgSend] – diğer tüm iş parçacıkları için mesaj kuyruklarında gönderilecek verileri kontrol edin ve işleyin
- [StageClient::ThreadBizMsgHandler] – C2 sunucusundan bekleyen mesajları kontrol edin
ESET araştırmacıları ayrıca, SideWalk için hem Linux hem de Windows varyantlarının, bir Google Dokümanlar dosyasında barındırılan ölü bırakma çözümleyici dizesi aracılığıyla sağlanan aynı yüke sahip olduğunu buldu.
İki SideWalk varyantını aynı tehdit aktörüne bağlayan bir başka kanıt, her ikisinin de virüslü makineden C2 sunucusuna veri taşımak için aynı şifreleme anahtarını kullanmasıydı.
SparklingGoblin, SideWalk Linux varyantının kanıtladığı gibi, ihtiyaçlarına göre uyarlanmış kötü amaçlı yazılım geliştirme yeteneklerine sahiptir. Bununla birlikte grup, diğer Çinli korsan gruplarına atfedilen operasyonlarda gözlemlenen implantlara da erişebilir.
ESET araştırmacıları, SparklingGoblin’in ShadowPad arka kapısına ve Winnti kötü amaçlı yazılımına erişimi olduğunu söylüyor.