最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

中国黑客创建Linux版SideWalk Windows恶意软件

网络安全 快米云 来源:ZZQIDQ 133浏览


有国家支持的中国黑客为 SideWalk 后门开发了一个 Linux 变体,用于攻击属于学术部门目标的 Windows 系统。

该恶意软件被高度信任地归因于 SparklingGoblin 威胁组织,该组织也被追踪为 Earth Baku,据信该组织与 APT41 网络间谍组织有关。

瞄准学术领域
过去曾观察到 SideWalk Linux 后门,最初被网络安全公司 ESET 的安全研究人员跟踪为 StageClient。

中国互联网安全公司奇虎 360 的威胁情报团队 360 Netlab 的研究人员发现了该恶意软件的早期变体,两年前在一篇关于 Spectre 僵尸网络攻击 IP 摄像头的博客文章中进行了详细说明。

在分析 Spectre 和 StageClient 后,ESET 研究人员确定这两个恶意软件具有相同的根,并且是 SideWalk 的 Linux 变体。

2021 年,趋势科技的研究人员记录了归因于 APT41/Earth Baku 的网络间谍活动的新工具,包括 SideWalk 后门,他们将其跟踪为ScrambleCross。

ESET 在今天的一份报告中指出,虽然 SideWalk Linux 过去曾被用于多个目标,但他们的遥测数据显示,他们发现的变体仅在 2021 年 2 月针对一名受害者(香港的一所大学)部署。

SparkGoblin 过去专注于同一个目标,在 2020 年 5 月的学生抗议期间损害了同一所大学。

“该组织在很长一段时间内不断针对该组织,成功入侵多个关键服务器,包括打印服务器、电子邮件服务器和用于管理学生日程和课程注册的服务器”- ESET

虽然 SparklingGoblin 主要攻击东亚和东南亚的目标,但该组织也一直在打击这些地区以外的组织,其重点是学术领域。

适用于 Windows 的 SideWalk 已为 Linux 做好准备
查看适用于 Linux 和 Windows 的 SideWalk 变体,ESET 注意到它们在运行方式、多个组件的实现以及在受感染系统上丢弃的有效负载方面存在“惊人的”相似之处。

研究人员表示,这两种变体都实现了 ChaCha20 加密算法,以“使用初始值为 0x0B 的计数器”,这是 SideWalk 特有的。

在 Windows 和 Linux 上,恶意软件使用相同的五个线程同时执行特定任务:

[StageClient::ThreadNetworkReverse] – 为与命令和控制 (C2) 服务器的备用连接获取代理配置
[StageClient::ThreadHeartDetect] – 在指定时间内未收到命令时关闭与 C2 服务器的连接
[StageClient::ThreadPollingDriven] – 如果没有要传递的信息,则向 C2 服务器发送心跳命令
[StageClient::ThreadBizMsgSend] – 检查要在所有其他线程的消息队列中发送的数据并处理它
[StageClient::ThreadBizMsgHandler] – 检查来自 C2 服务器的待处理消息
ESET 研究人员还发现,SideWalk 的 Linux 和 Windows 变体都通过托管在 Google Docs 文件中的死点解析器字符串传递相同的有效负载。

在 Google Docs 中托管的用于 SideWalk 以获取有效负载
源的字符串:ESET
将两个 SideWalk 变体与同一个威胁参与者联系起来的另一个证据是,它们都使用相同的加密密钥将数据从受感染的机器传输到 C2 服务器。

SparklingGoblin 具有开发适合其需求的恶意软件的能力,SideWalk Linux 变体就是证明。但是,该组织还可以访问在归因于其他中国黑客组织的操作中观察到的植入物。

ESET 研究人员表示,SparklingGoblin 可以访问 ShadowPad 后门和 Winnti 恶意软件。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 中国黑客创建Linux版SideWalk Windows恶意软件