Злоумышленники испытали бэкдор в ходе прошлогодней атаки на гонконгский университет.
О появлении Linux-версии SideWalk в арсенале SparklingGoblin сообщили исследователи из ESET. По их словам, группировка c помощью нового бэкдора непрерывно атаковала высшие образовательные учреждения по всему миру.
Специалисты ESET заявили, что в последней обнаруженной кампании злоумышленники использовали Linux-версию оригинального бэкдора, который очень похож на свой аналог для Windows, но имеет несколько новых функций и особенностей.
Из особенностей эксперты отметили разные уровни скрытности версий бэкдора:
Windows-версия SideWalk скрывался от систем безопасности всеми возможными способами и был создан так, чтобы усложнить любые попытки анализа, почти не оставляя за собой следов.
Вариант бэкдора для Linux оставляет после себя множество незашифрованных артефактов, что значительно облегчает обнаружение и анализ.
Исследователи говорят, что у кода Linux-версии SideWalk и различных инструментов SparklingGoblin много общего. Кроме того, один из образцов бэкдора был обнаружен с помощью C&C-адреса, которым ранее пользовалась группировка.
Из сходств бэкдоров специалисты отметили:
Одинаковую реализацию ChaCha20;
Схожую архитектуру;
Использование тактики dead-drop resolver.
В GitHub-репозитории ESET можно найти список идентификаторов компрометации и набор образцов бэкдоров, относящихся к Linux-версии SideWalk и инструментам SparklingGoblin.
Первое — находим постоянно, второе — ждем вас