В арсенале APT SparklingGoblin появился Linux-версия бэкдора SideWalk

В арсенале APT SparklingGoblin появился Linux-версия бэкдора SideWalk

Злоумышленники испытали бэкдор в ходе прошлогодней атаки на гонконгский университет.

image

О появлении Linux-версии SideWalk в арсенале SparklingGoblin сообщили исследователи из ESET. По их словам, группировка c помощью нового бэкдора непрерывно атаковала высшие образовательные учреждения по всему миру.

Специалисты ESET заявили, что в последней обнаруженной кампании злоумышленники использовали Linux-версию оригинального бэкдора, который очень похож на свой аналог для Windows, но имеет несколько новых функций и особенностей.

Из особенностей эксперты отметили разные уровни скрытности версий бэкдора:

  • Windows-версия SideWalk скрывался от систем безопасности всеми возможными способами и был создан так, чтобы усложнить любые попытки анализа, почти не оставляя за собой следов.

  • Вариант бэкдора для Linux оставляет после себя множество незашифрованных артефактов, что значительно облегчает обнаружение и анализ.

Исследователи говорят, что у кода Linux-версии SideWalk и различных инструментов SparklingGoblin много общего. Кроме того, один из образцов бэкдора был обнаружен с помощью C&C-адреса, которым ранее пользовалась группировка.

Из сходств бэкдоров специалисты отметили:

  • Одинаковую реализацию ChaCha20;

  • Схожую архитектуру;

  • Использование тактики dead-drop resolver.

В GitHub-репозитории ESET можно найти список идентификаторов компрометации и набор образцов бэкдоров, относящихся к Linux-версии SideWalk и инструментам SparklingGoblin.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!