Devlet destekli Çinli hackerlar, akademik sektördeki hedeflere ait Windows sistemlerine karşı kullanılan kaldırım arka kapı için bir Linux varyantı geliştirdiler.
Kötü amaçlı yazılım, APT41 Siber Teslim Grubuna bağlı olduğuna inanılan Dünya Bakü olarak da izlenen SparklingGoblin Tehdit Grubuna yüksek güvenle ilişkilendirilir.
Kaldırım Linux arka kapısı geçmişte gözlemlenmiştir ve başlangıçta siber güvenlik şirketi ESET'teki güvenlik araştırmacıları tarafından stageclient olarak izlenmiştir.
Kötü amaçlı yazılımın erken bir varyantı, Çin internet güvenlik şirketi Qihoo 360'daki tehdit istihbarat ekibi 360 NetLab'daki araştırmacılar tarafından tespit edildi ve iki yıl önce IP kameralarına vuran Spectre Botnet hakkında bir blog yazısında ayrıntılı olarak görüldü.
Spectre ve stageclient'i analiz ettikten sonra, ESET araştırmacıları her iki kötü amaçlı yazılım parçasının aynı kökü olduğunu ve kaldırımın Linux varyantları olduğunu belirlediler.
2021'de Trend Micro'daki araştırmacılar, ScrambleCross olarak izledikleri kaldırım arka kapısı da dahil olmak üzere APT41/Earth Bakü'ye atfedilen bir siberlik kampanyasından yeni araçları belgeledi.
ESET, bugün bir raporda, kaldırım Linux'un geçmişte birden fazla hedefe karşı kullanılırken, telemetri verilerinin keşfettikleri varyantın Şubat 2021'de Hong Kong'daki bir üniversite olan sadece bir kurbana karşı konuşlandırıldığını gösteriyor.
Sparkgoblin, öğrencilerin protestoları sırasında Mayıs 2020'de aynı üniversiteyi tehlikeye atarak geçmişte aynı hedefe odaklandı.
“Grup, bu kuruluşu uzun bir süre boyunca sürekli olarak hedefledi, bir yazdırma sunucusu, bir e -posta sunucusu ve öğrenci programlarını ve ders kayıtlarını yönetmek için kullanılan bir sunucu da dahil olmak üzere birden fazla anahtar sunucuyu başarıyla tehlikeye attı” - ESET
Her ne kadar SparklingGoblin çoğunlukla Doğu ve Güneydoğu Asya'daki hedeflere saldırıyor olsa da, grup da bu bölgelerin dışındaki organizasyonlara çarpıyor, odak noktası akademik sektöre.
Linux ve Windows için kaldırım varyantlarına bakıldığında ESET, işlev gördükleri şekilde “çarpıcı” benzerlikler, birden fazla bileşenin uygulanması ve yükler tehlikeye atılan sisteme düştü.
Araştırmacılar, her iki varyantın, kaldırıma özgü bir şey olan “başlangıç değeri 0x0b olan bir sayaç kullanmak” için ChaCha20 şifreleme algoritmasını uyguladığını söylüyor.
Hem Windows hem de Linux'ta, kötü amaçlı yazılım, belirli görevler için aynı anda yürütülen aynı beş iş parçacığını kullanır:
ESET araştırmacıları ayrıca kaldırım için hem Linux hem de Windows varyantlarının, bir Google Doküman dosyasında barındırılan ölü damla çözücü dizesi aracılığıyla aynı yüke sahip olduğunu buldular.
İki kaldırım varyantını aynı tehdit aktörüne bağlayan bir başka kanıt da, her ikisinin de enfekte makineden enfekte makineden C2 sunucusuna taşımak için aynı şifreleme anahtarını kullanmasıydı.
SparklingGoblin, kaldırım Linux varyantı tarafından kanıtlandığı gibi, ihtiyaçlarına uyarlanmış kötü amaçlı yazılım geliştirme yeteneklerine sahiptir. Bununla birlikte, grup ayrıca diğer Çin hack gruplarına atfedilen operasyonlarda gözlemlenen implantlara erişebilir.
ESET araştırmacıları, SparklingGoblin'in Shadowpad Backdoor ve Winnti kötü amaçlı yazılımlarına erişebileceğini söylüyor.
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
Winnti bilgisayar korsanları, algılamadan kaçmak için kobalt grevini 154 parçaya bölün
Çinli hackerlar arka kapı govt, savunma orgs için yeni windows kötü amaçlı yazılım kullanıyor
BPFDoor kötü amaçlı yazılım, kök ayrıcalıklarını elde etmek için Solaris güvenlik açığı kullanır
Yeni 'Lightning Framework' Linux kötü amaçlı yazılım, rootkits, backroors yükler
Kaynak: Bleeping Computer