Злоумышленники испытали бэкдор в ходе прошлогодней атаки на гонконгский университет.
https://www.securitylab.ru/upload/ib...4oxas0aq2h.jpg
О появлении Linux-версии SideWalk в арсенале SparklingGoblin сообщили исследователи из ESET. По их словам, группировка c помощью нового бэкдора непрерывно атаковала высшие образовательные учреждения по всему миру.
Специалисты ESET заявили, что в последней обнаруженной кампании злоумышленники использовали Linux-версию оригинального бэкдора, который очень похож на свой аналог для Windows, но имеет несколько новых функций и особенностей.
Из особенностей эксперты отметили разные уровни скрытности версий бэкдора:<ul><li>Windows-версия SideWalk скрывался от систем безопасности всеми возможными способами и был создан так, чтобы усложнить любые попытки анализа, почти не оставляя за собой следов.</li>
</ul><ul><li>Вариант бэкдора для Linux оставляет после себя множество незашифрованных артефактов, что значительно облегчает обнаружение и анализ.</li>
</ul>Исследователи говорят, что у кода Linux-версии SideWalk и различных инструментов SparklingGoblin много общего. Кроме того, один из образцов бэкдора был обнаружен с помощью C&amp;C-адреса, которым ранее пользовалась группировка.
Из сходств бэкдоров специалисты отметили:<ul><li>Одинаковую реализацию ChaCha20;</li>
</ul><ul><li>Схожую архитектуру;</li>
</ul><ul><li>Использование тактики dead-drop resolver.</li>
</ul>В GitHub-репозитории ESET можно найти список идентификаторов компрометации и набор образцов бэкдоров, относящихся к Linux-версии SideWalk и инструментам SparklingGoblin.