В арсенале APT SparklingGoblin появился Linux-версия бэкдора SideWalk

О появлении Linux-версии SideWalk в арсенале SparklingGoblin сообщили исследователи из ESET. По их словам, группировка c помощью нового бэкдора непрерывно атаковала высшие образовательные учреждения по всему миру.

Специалисты ESET заявили, что в последней обнаруженной кампании злоумышленники использовали Linux-версию оригинального бэкдора, который очень похож на свой аналог для Windows, но имеет несколько новых функций и особенностей.

Из особенностей эксперты отметили разные уровни скрытности версий бэкдора:

• Windows-версия SideWalk скрывался от систем безопасности всеми возможными способами и был создан так, чтобы усложнить любые попытки анализа, почти не оставляя за собой следов.

• Вариант бэкдора для Linux оставляет после себя множество незашифрованных артефактов, что значительно облегчает обнаружение и анализ.

Исследователи говорят, что у кода Linux-версии SideWalk и различных инструментов SparklingGoblin много общего. Кроме того, один из образцов бэкдора был обнаружен с помощью C&C-адреса, которым ранее пользовалась группировка.

Из сходств бэкдоров специалисты отметили:

• Одинаковую реализацию ChaCha20;

• Схожую архитектуру;

• Использование тактики dead-drop resolver.

В GitHub-репозитории ESET можно найти список идентификаторов компрометации и набор образцов бэкдоров, относящихся к Linux-версии SideWalk и инструментам SparklingGoblin.