0
0
Os pesquisadores da ESET descobriram uma variante Linux do backdoor SideWalk, um dos vários implantes personalizados usados pelo grupo SparklingGoblin APT.
Comandos com implementação diferente ou ausente na versão Linux do SideWalk
Visando uma universidade de Hong Kong
Essa variante foi implantada pela primeira vez contra uma universidade de Hong Kong em fevereiro de 2021 – a mesma universidade que SparklingGoblin já havia visado durante os protestos estudantis em maio de 2020.
SparklingGoblin é um grupo APT com alvos principalmente no leste e sudeste da Ásia. No entanto, a ESET viu SparklingGoblin visando uma ampla gama de organizações e verticais em todo o mundo, com foco particular no setor acadêmico.
“O backdoor SideWalk é exclusivo do SparklingGoblin. Além das várias semelhanças de código entre as variantes Linux do SideWalk e várias ferramentas do SparklingGoblin, um dos exemplos do SideWalk Linux usa um endereço C&C que o SparklingGoblin usava anteriormente. Considerando todos esses fatores, atribuímos com alta confiança o SideWalk Linux ao grupo SparklingGoblin APT”, explica Vladislav Hrčka , pesquisador da ESET que fez a descoberta junto com Thibault Passilly e Mathieu Tartare .
O SparklingGoblin comprometeu a universidade particular de Hong Kong pela primeira vez em maio de 2020, e detectamos pela primeira vez a variante Linux do SideWalk na rede dessa universidade em fevereiro de 2021. O grupo atacou continuamente essa organização por um longo período, comprometendo com sucesso vários servidores, incluindo um servidor de impressão, um servidor de e-mail e um servidor usado para gerenciar os horários dos alunos e os registros dos cursos. Desta vez, é uma variante Linux do backdoor original. Esta versão do Linux apresenta várias semelhanças com a versão do Windows e algumas novidades técnicas.
Detalhes do backdoor do Linux SideWalk
Uma particularidade do SideWalk é o uso de vários threads para executar uma única tarefa específica. Os pesquisadores notaram que, em ambas as variantes, existem precisamente cinco threads executados simultaneamente, cada um com um trabalho específico. Quatro comandos não são implementados ou são implementados de forma diferente na variante Linux.
“Considerando as inúmeras sobreposições de código entre as amostras, acreditamos que encontramos uma variante Linux do SideWalk, que apelidamos de SideWalk Linux. As semelhanças incluem o mesmo ChaCha20 personalizado, arquitetura de software, configuração e implementação de resolvedor de ponto morto”, diz Hrčka.
“A variante Windows do SideWalk faz um grande esforço para ocultar os objetivos de seu código. Ele eliminou todos os dados e códigos desnecessários para sua execução e criptografou o resto. Por outro lado, as variantes do Linux contêm símbolos e deixam algumas chaves de autenticação exclusivas e outros artefatos não criptografados, facilitando significativamente a detecção e a análise”, diz Hrčka.
Uma lista abrangente de indicadores de comprometimento e exemplos pode ser encontrada neste repositório do GitHub .
FONTE: HELPNET SECURITY