SparklingGoblin: Neue Linux-Variante von SideWalk im Einsatz

SparklingGoblin: China-Hacker nutzen Linux-Variante von SideWalk

Die chinesische Hackergruppe SparklingGoblin nutzt eine spezielle Linux-Variante der Backdoor SideWalk, um gezielt akademische Ziele anzugreifen. Die Sicherheitsforscher von ESET berichten, dass SideWalk lediglich eines der vielen Tools im Arsenal der Hacker ist.



SparklingGoblin verfügt über zahlreiche Tools


Im August 2021 wurde eine Windows-Malware namens SideWalk (zuvor ScrambleCross) entdeckt, die von chinesischen Hackern eingesetzt wurde, um ein US-amerikanisches Computerhandelsunternehmen zu attackieren. Doch im selben Jahr wurde auch eine Linux-Variante von SideWalk bei einem Angriff auf eine Universität in Hongkong eingesetzt.



Die APT-Gruppe SparklingGoblin ist für diesen Angriff verantwortlich und verwendet ähnliche Methoden und Techniken wie APT41 und BARIUM. Nach Angaben von ESET nutzt SparklingGoblin Motnug- und ChaCha20-basierte Loader, die Backdoors CROSSWALK und SideWalk sowie Korplug (alias PlugX) und Cobalt Strike. Darüber hinaus hat die Gruppe Zugriff auf die ShadowPad-Backdoor.



Hacker nehmen den akademischen Sektor ins Visier


SparklingGoblin konzentriert sich hauptsächlich auf den akademischen Sektor und agiert vor allem in Ost- und Südostasien. Bereits im Mai 2020 attackierten sie eine Universität in Hongkong während laufender Studentenproteste. Im Februar 2021 fiel die gleiche Hochschule einem erneuten Angriff zum Opfer, bei dem SparklingGoblin exklusiv die neu aufgetauchte Linux-Variante von SideWalk einsetzte.



ESET-Forscher berichten, dass die Hacker die Organisation über einen längeren Zeitraum hinweg ins Visier genommen und erfolgreich mehrere wichtige Server kompromittiert haben, darunter ein Druckserver, ein E-Mail-Server und ein Server zur Verwaltung von Stundenplänen und Kursanmeldungen.



StageClient wird zu SideWalk


ESET dokumentierte erstmals am 2. Juli 2021 die Linux-Variante von SideWalk unter dem Namen StageClient, konnte damals jedoch noch keine Verbindung zu SparklingGoblin und der SideWalk-Backdoor herstellen. Die Sicherheitsforscher teilten mit, dass der ursprüngliche Name aufgrund der häufigen Verwendung der Zeichenfolge StageClient im Code gewählt wurde.



Die Forscher sind der Ansicht, dass die Botnetz-Malware Specter RAT, die im September 2020 erstmals von 360 Netlab dokumentiert wurde, ebenfalls eine SideWalk-Linux-Variante ist. Dies lässt sich auf die vielen Gemeinsamkeiten dieser Tools zurückführen.








Kommentare


Anzeige