SideWalk arka kapısının yeni bir Linux sürümü, bir Hong Kong üniversitesine karşı, kurumun ağ ortamının anahtarı olan birden çok sunucuyu tehlikeye atan kalıcı bir saldırıyla konuşlandırıldı.
ESET’ten araştırmacılar, saldırıyı ve arka kapıyı, akademik sektöre odaklanan, çoğunlukla Doğu ve Güneydoğu Asya’daki kuruluşları hedefleyen gelişmiş bir kalıcı tehdit (APT) grubu olan SparklingGoblin’e bağladılar. Blog yazısı 14 Eylül’de yayınlandı.
Araştırmacılar, APT’nin dünya çapında çok çeşitli kuruluşlara ve dikey sektörlere yönelik saldırılarla da bağlantılı olduğunu ve SideWalk ve Crosswalk arka kapılarını kötü amaçlı yazılım cephaneliğinde kullanmasıyla tanındığını söyledi.
Aslında, Hong Kong üniversitesine yapılan saldırı, SparklingGoblin’in bu özel kurumu ikinci kez hedef almasıdır; ilki, ESET araştırmacılarıyla birlikte, öğrenci protestoları sırasında Mayıs 2020’de gerçekleşti. ilk önce Linux varyantını tespit etmek SideWalk’ın üniversite ağında Şubat 2021’de, gerçekte böyle tanımlamadan, dediler.
En son saldırı, başlangıçta IP kameralar ve/veya ağ video kaydedici (NVR) ve DVR cihazlarının Spectre botnetini kullanarak veya kurbanın bilgisayarında bulunan savunmasız bir WordPress sunucusu aracılığıyla istismar edilmesiyle başlamış olabilecek sürekli bir kampanyanın parçası gibi görünüyor. Araştırmacılar, çevre dedi.
Araştırmacılar, “SparklingGoblin, bir baskı sunucusu, bir e-posta sunucusu ve öğrenci programlarını ve ders kayıtlarını yönetmek için kullanılan bir sunucu da dahil olmak üzere birden çok anahtar sunucudan başarıyla ödün vererek, bu organizasyonu uzun bir süre boyunca sürekli olarak hedef aldı” dedi.
Üstelik, ilk olarak 360 Netlab’daki araştırmacılar tarafından belgelenen Spectre RAT’ın, ESET araştırmacıları tarafından tanımlanan örnek arasındaki çoklu ortak noktaların gösterdiği gibi, aslında bir SideWalk Linux varyantı olduğu anlaşılıyor.
SparklingGoblin’e SideWalk Bağlantıları
Kaldırım komuta ve kontrol (C2) sunucusundan gönderilen ek modülleri dinamik olarak yükleyebilen, bir çıkmaz çözümleyici olarak Google Dokümanlar’ı kullanan ve bir C2 sunucusu olarak Cloudflare kullanan modüler bir arka kapıdır. Ayrıca bir proxy arkasındaki iletişimi düzgün bir şekilde yönetebilir.
SideWalk arka kapısından hangi tehdit grubunun sorumlu olduğu konusunda araştırmacılar arasında farklı görüşler var. ESET, kötü amaçlı yazılımı SparklingGoblin’e bağlarken, Symantec’teki araştırmacılar en az Mart 2017’den beri aktif bir Çinli APT olan Grayfly’ın (aka GREF ve Wicked Panda) işi olduğunu söyledi.
ESET, SideWalk’ın SparklingGoblin’e özel olduğuna inanıyor ve bu değerlendirmedeki “yüksek güvenini” “SideWalk’ın Linux varyantları ile çeşitli SparklingGoblin araçları arasındaki çoklu kod benzerliklerine” dayandırıyor, dedi araştırmacılar. SideWalk Linux örneklerinden biri de bir C2 adresi kullanır (66.42.103[.]222) daha önce SparklingGoblin tarafından kullanılıyordu, eklediler.
SideWalk ve Crosswalk arka kapılarını kullanmanın yanı sıra SparklingGoblin, saldırılarında Motnug ve ChaCha20 tabanlı yükleyiciler, PlugX RAT (aka Korplug) ve Cobalt Strike’ı dağıtmasıyla da tanınır.
SideWalk Linux’un Başlangıcı
ESET araştırmacıları, SideWalk’ın Linux varyantını ilk olarak Temmuz 2021’de belgelediler ve o sırada SparklingGoblin ve Windows için SideWalk arka kapısı ile bağlantı kurmadıkları için “StageClient” adını verdiler.
Sonunda, 360 Netlab’daki araştırmacılar tarafından bir blog yazısında bahsedilen Spectre botnet tarafından kullanılan esnek yapılandırma ile kötü amaçlı yazılımı modüler bir Linux arka kapısına bağladılar ve “tüm ikili dosyalarda bulunan işlevsellik, altyapı ve sembollerde büyük bir örtüşme buldular. ” dedi ESET araştırmacıları.
“Bu benzerlikler bizi Spectre ve StageClient’in aynı kötü amaçlı yazılım ailesinden olduğuna ikna ediyor” diye eklediler. Aslında, her ikisi de SideWalk’ın sadece Linux’u, araştırmacılar sonunda buldu. Bu nedenle, her ikisi de artık SideWalk Linux çatı terimi altında anılmaktadır.
Aslında, bulut hizmetleri, sanal makine ana bilgisayarları ve kapsayıcı tabanlı altyapı için temel olarak Linux’un sık kullanımı göz önüne alındığında, saldırganlar giderek daha fazla karmaşık istismar ve kötü amaçlı yazılım içeren Linux ortamlarını hedef alıyor. Bu, hem işletim sistemine özgü hem de Windows sürümlerinin tamamlayıcısı olarak oluşturulmuş Linux kötü amaçlı yazılımlarının ortaya çıkmasına neden oldu ve saldırganların açık kaynaklı yazılımı hedeflemek için artan bir fırsat gördüklerini gösterdi.
Windows Sürümüyle Karşılaştırma
Araştırmacılar, SideWalk Linux’un kötü amaçlı yazılımın Windows sürümüyle çok sayıda benzerliğine sahip olduğunu ve araştırmacıların yazılarında yalnızca en “çarpıcı” olanları özetlediğini söyledi.
Açık bir paralellik, her iki varyantın da ESET araştırmacıları tarafından daha önce belirtilen bir özellik olan “0x0B” başlangıç değerine sahip bir sayaç kullanan ChaCha20 şifreleme uygulamalarıdır. ChaCha20 anahtarının her iki varyantta da tamamen aynı olduğunu ve ikisi arasındaki bağlantıyı güçlendirdiğini eklediler.
SideWalk’ın her iki sürümü de belirli görevleri yürütmek için birden çok iş parçacığı kullanır. Her birinin tam olarak beş iş parçacığı vardır – StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend ve StageClient::ThreadBizMsgHandler – aynı anda yürütülür ve her biri ESET’e göre arka kapıya özgü belirli bir işlevi gerçekleştirir.
İki sürüm arasındaki diğer bir benzerlik, ölü çözümleyici yükünün – veya gömülü etki alanları veya IP adresleri ile Web hizmetlerinde yayınlanan düşmanca içeriğin – her iki örnekte de aynı olmasıdır. Araştırmacılar, her iki versiyonun da bir dizideki bir öğeyi başka bir öğeden ayırmak için seçilen karakterlerin sınırlayıcılarının ve kod çözme algoritmalarının da aynı olduğunu söyledi.
Araştırmacılar ayrıca SideWalk Linux ve Windows karşılığı arasında önemli farklılıklar buldular. Birincisi, SideWalk Linux türevlerinde modüllerin yerleşik olmasıdır ve C2 sunucusundan alınamaz. Öte yandan Windows sürümü, doğrudan kötü amaçlı yazılım içindeki özel işlevler tarafından yürütülen yerleşik işlevlere sahiptir. Araştırmacılar, SideWalk’ın Windows sürümünde C2 iletişimi yoluyla bazı eklentilerin de eklenebileceğini söyledi.
Araştırmacılar, her versiyonun savunmadan kaçınmayı farklı bir şekilde gerçekleştirdiğini buldu. SideWalk’ın Windows varyantı, yürütülmesi için gereksiz olan tüm verileri ve kodları kırparak ve gerisini şifreleyerek “kodunun amaçlarını gizlemek için büyük çaba harcıyor”.
Araştırmacılar, Linux varyantlarının semboller içererek ve bazı benzersiz kimlik doğrulama anahtarlarını ve diğer eserleri şifrelenmemiş bırakarak arka kapının tespitini ve analizini “önemli ölçüde kolaylaştırdığını” söyledi.
“Ayrıca, Windows varyantındaki çok daha yüksek sayıda satır içi işlev, kodunun daha yüksek düzeyde derleyici optimizasyonu ile derlendiğini gösteriyor” diye eklediler.