SideWalk arka kapısının bir Linux çeşidi, Çin hükümetinin desteklediği Çinli bilgisayar korsanları tarafından geliştirilmiştir. Bu arka kapı ile akademik kurumlara ait Microsoft Windows işletim sistemi tabanlı sistemler hedeflenmektedir.
Kötü amaçlı yazılımın kaynağı olarak Earth Baku olarak da bilinen SparklingGoblin tehdit grubuna yüksek düzeyde güven verilir.
Ayrıca, bu kampanyayla bağlantılı olduğundan şüphelenilen bir siber casusluk grubu olan APT41’in de olaya karıştığı düşünülüyor.
Akademik Sektörler Hedeflendi
Şu an itibariyle, siber güvenlik şirketi ESET’teki güvenlik araştırmacıları, geçmişte gözlemlenen SideWalk Linux arka kapısını StageClient olarak tanımladı.
360 Netlab araştırmacılarının kötü amaçlı yazılımın erken bir çeşidini tespit ettiğine dair bir rapor var. IP kameralara saldıran Spectre botnet, iki yıl önce güvenlik analistleri tarafından rapor edilmiş ve açıklanmıştır.
Hem Spectre hem de StageClient’in SideWalk’ın Linux varyantları olarak tanımlandığı ve aynı kökleri paylaştığı belirlenirken.
Geçmişte, SideWalk Linux ile bir dizi hedef saldırıya uğradı. Ancak Şubat 2021’de SideWalk Linux yalnızca bir kurbana karşı konuşlandırıldı ve bu, Hong Kong merkezli bir üniversite.
Mayıs 2020’deki öğrenci protestoları sırasında SparkGoblin, çabalarını geçmişte grup tarafından tehlikeye atılan aynı üniversiteye odaklamıştı.
SparklingGoblin’in ağırlıklı olarak Doğu Asya ve Güneydoğu Asya’daki hedeflerine saldırdığını düşünürsek, bunun burada gerçekleşmesi biraz şaşırtıcı.
Kullanılan iplikler
İki türev vardır ve her ikisi de 0x0B değerini karşılamak için ChaCha20 şifreleme algoritmasını uygulamıştır ve bu ilk değerdir. SideWalk’ın bunu yapmanın belirli bir yolu var ve bu onlara özgü bir şey.
Windows ve Linux’ta çalışan kötü amaçlı yazılıma benzer şekilde, kötü amaçlı yazılım tarafından kullanılan beş özdeş iş parçacığı vardır. Her iş parçacığı, belirli görevleri yerine getirmek için aynı anda yürütülür ve burada aşağıda kullanılan tüm iş parçacıklarından bahsettik: –
- [StageClient::ThreadNetworkReverse]
- [StageClient::ThreadHeartDetect]
- [StageClient::ThreadPollingDriven]
- [StageClient::ThreadBizMsgSend]
- [StageClient::ThreadBizMsgHandler]
Bir Google Dokümanlar dosyasına, SideWalk’ın hem Windows hem de Linux türevlerinin yanı sıra yükü teslim etmek için kullanılan çıkmaz çözümleyici dizeleri tarafından erişildi.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap