Nový SideWalk Backdoor sa zameriava na maloobchodný predaj počítačov so sídlom v USA

Počítačová maloobchodná spoločnosť so sídlom v USA bola terčom doteraz neobjaveného implantátu tzv SideWalk ako súčasť nedávnej kampane vedenej čínskou skupinou pre pokročilú pretrvávajúcu hrozbu, ktorá je známa predovšetkým tým, že vyčleňuje subjekty vo východnej a juhovýchodnej Ázii.

Slovenská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou ESET pripísala malvér pokročilej perzistentnej hrozbe, ktorú sleduje pod prezývkou SparklingGoblin, protivníkovi, o ktorom sa predpokladá, že je napojený na zastrešujúcu skupinu Winnti, pričom si všimol jeho podobnosť s iným zadným vrátkom s názvom Crosswalk, ktorý použil rovnaký aktér hrozby v r. 2019.

„SideWalk je modulárny backdoor, ktorý dokáže dynamicky načítať ďalšie moduly odoslané z C&C [command-and-control] server, využíva Google Docs ako mŕtve kvapky a pracovníkov Cloudflare ako C&C server,” uviedli výskumníci ESET Thibaut Passilly a Mathieu Tartare v správe zverejnenej v utorok. “Dokáže tiež správne zvládnuť komunikáciu za proxy.”

Od prvého objavenia sa na scéne hrozieb v roku 2019 bol SparklingGoblin spojený s niekoľkými útokmi zameranými na hongkonské univerzity pomocou zadných vrátok, ako sú Spyder a ShadowPad, z ktorých druhý sa v posledných rokoch stal preferovaným škodlivým softvérom medzi viacerými čínskymi skupinami hrozieb.

Za posledný rok kolektív zasiahol širokú škálu organizácií a vertikál po celom svete, s osobitným zameraním na akademické inštitúcie nachádzajúce sa v Bahrajne, Kanade, Gruzínsku, Indii, Macau, Singapure, Južnej Kórei, Taiwane a USA. Medzi ďalšie cieľové subjekty patria mediálne spoločnosti, náboženské organizácie, platformy elektronického obchodu, výrobcovia počítačov a elektroniky a miestne samosprávy.

SideWalk je charakterizovaný ako šifrovaný shell kód, ktorý sa nasadzuje cez .NET zavádzač, ktorý sa stará o „prečítanie zašifrovaného shell kódu z disku, jeho dešifrovanie a vloženie do legitímneho procesu pomocou techniky procesného vyhĺbenia“. Ďalšia fáza infekcie sa začína tým, že SideWalk nadviaže komunikáciu so serverom C&C, pričom malvér získa zašifrovanú IP adresu z dokumentu Google Docs.

„Dešifrovaná IP adresa je 80.85.155[.]80. Tento server C&C používa pre facebookint certifikát s vlastným podpisom[.]com doména. Táto doména bola pripísaná BARIUM spoločnosťou Microsoft, čo sa čiastočne prekrýva s tým, čo definujeme ako Winnti Group. Keďže táto IP adresa nie je prvá, ktorú malvér použil, považuje sa za záložnú,“ uviedli vedci.

Okrem použitia protokolu HTTPS na komunikáciu C&C je SideWalk navrhnutý tak, aby načítal ľubovoľné doplnky odoslané zo servera, zhromažďoval informácie o spustených procesoch a preniesol výsledky späť na vzdialený server.

“SideWalk je predtým nezdokumentovaný backdoor používaný skupinou SparklingGoblin APT. S najväčšou pravdepodobnosťou ho vyrobili rovnakí vývojári ako tí, ktorí stoja za CROSSWALK, s ktorým zdieľa mnoho dizajnových štruktúr a implementačných detailov,” uzavreli vedci.