Бекдор SideWalk для Linux використовує кілька потоків для виконання одного завдання

15 сентябрь, 2022 - 11:37

Бекдор SideWalk для Linux використовує кілька потоків для виконання одного завдання

Компанія Eset виявила бекдор для Linux, який використовує APT-група SparklingGoblin. Кіберзлочинці націлені на організації в різних галузях у всьому світі, однак найбільше зловмисників цікавлять цілі в галузі освіти Східної Азії.

У травні 2020 року група SparklingGoblin вперше скомпрометувала один університет Гонконгу. Після цього в лютому 2021 року у мережі цієї установи було виявлено бекдор SideWalk для Linux. Протягом тривалого часу кіберзлочинці атакували цей університет, успішно скомпрометувавши сервери друку та електронної пошти, а також сервер для управління розкладом студентів та реєстрацією курсів.

Бекдор для Linux має кілька подібностей з версією загрози для Windows, а також деякі нові технічні особливості. Зокрема бекдор SideWalk використовує кілька потоків для виконання одного конкретного завдання. При цьому в обох варіантах п’ять потоків виконуються одночасно, кожен з яких має певне завдання. Чотири команди не реалізовані або реалізовані іншим способом у варіанті бекдора для Linux.

У випадку із загрозою SideWalk для Windows зловмисники різними способами намагаються приховати цілі свого коду. Зокрема було видалено усі дані та код, які були непотрібні для виконання бекдора, а також зашифровано решту. Тоді як варіанти бекдора для Linux містять символи та залишають незашифрованими деякі унікальні ключі автентифікації та інші артефакти, що значно полегшує виявлення та аналіз.