SideWalk Backdoor IOCs

security IOC

Исследователи ESET обнаружили Linux-вариант бэкдора SideWalk, одного из многочисленных пользовательских имплантов, используемых APT-группой SparklingGoblin. Этот вариант был развернут против университета Гонконга в феврале 2021 года, того самого университета, который уже подвергался атакам SparklingGoblin во время студенческих протестов в мае 2020 года. Первоначально мы назвали этот бэкдор StageClient, но теперь называем его просто SideWalk Linux. Мы также обнаружили, что ранее известный бэкдор для Linux - Specter RAT, впервые задокументированный 360 Netlab, - также является вариантом SideWalk Linux, имея множество общих черт с выявленными нами образцами.

SparklingGoblin - это группа APT, тактика, методы и процедуры (TTP) которой частично совпадают с APT41 и BARIUM. Она использует загрузчики на базе Motnug и ChaCha20, бэкдоры CROSSWALK и SideWalk, а также Korplug (он же PlugX) и Cobalt Strike. Хотя группа нацелена в основном на Восточную и Юго-Восточную Азию, мы также видели, как SparklingGoblin атакует широкий спектр организаций и вертикальных структур по всему миру, уделяя особое внимание академическому сектору. SparklingGoblin - одна из групп, имеющих доступ к бэкдору ShadowPad.

Indicators of Compromise

IPv4

  • 172.67.8.59
  • 66.42.103.222

Domains

  • rec.micosoft.ga

SHA1

  • 7df0be2774b17f672b96860d013a933e97862e6c
  • fa6a40d3fc5cd4d975a01e298179a0b36aa02d4e
SEC-1275-1
Добавить комментарий