Исследователи ESET обнаружили Linux-вариант бэкдора SideWalk, одного из многочисленных пользовательских имплантов, используемых APT-группой SparklingGoblin. Этот вариант был развернут против университета Гонконга в феврале 2021 года, того самого университета, который уже подвергался атакам SparklingGoblin во время студенческих протестов в мае 2020 года. Первоначально мы назвали этот бэкдор StageClient, но теперь называем его просто SideWalk Linux. Мы также обнаружили, что ранее известный бэкдор для Linux - Specter RAT, впервые задокументированный 360 Netlab, - также является вариантом SideWalk Linux, имея множество общих черт с выявленными нами образцами.
SparklingGoblin - это группа APT, тактика, методы и процедуры (TTP) которой частично совпадают с APT41 и BARIUM. Она использует загрузчики на базе Motnug и ChaCha20, бэкдоры CROSSWALK и SideWalk, а также Korplug (он же PlugX) и Cobalt Strike. Хотя группа нацелена в основном на Восточную и Юго-Восточную Азию, мы также видели, как SparklingGoblin атакует широкий спектр организаций и вертикальных структур по всему миру, уделяя особое внимание академическому сектору. SparklingGoblin - одна из групп, имеющих доступ к бэкдору ShadowPad.
Indicators of Compromise
IPv4
- 172.67.8.59
- 66.42.103.222
Domains
- rec.micosoft.ga
SHA1
- 7df0be2774b17f672b96860d013a933e97862e6c
- fa6a40d3fc5cd4d975a01e298179a0b36aa02d4e