黑客組織 SparklingGoblin 自 2021 年 2 月針對香港一所大學下手,並植入 Linux 後門程式,國際資安大廠 ESET 進一步調查後發現,此後門程式是名為 SideWalk 的 Windows 惡意軟件改造而成,且與騰訊旗下的 360 網絡安全實驗室於 2020 年 9 月發現的 Spectre RAT 有關。而 SparklingGoblin 主要針對東亞和東南亞,且特別關注學術領域。
ESET 研究人員表示,Linux 版 SideWalk 與 Windows 版有許多共通的特性,例如,都使用 ChaCha20 演算法,具備 5 個同步執行的處理程式等。
SideWalk 的一個特殊性是使用多個處理程式來執行一項特定任務,在這兩種變體中,正好有五個處理程式同時執行,每個都有一個特定的任務:
StageClient::ThreadNetworkReverseM
定期嘗試啟動與 C&C 伺服器的連接
StageClient::ThreadHeartDetect
終止與 C&C 伺服器的連接或切換到睡眠模式
StageClient::ThreadPollingDriven
定期向 C&C 伺服器發送一個心跳命令(heartbeat command)
StageClient::ThreadBizMsgSend
定期檢查消息隊列中是否有發送數據
StageClient::ThreadBizMsgHandler
定期檢查是否有任何從 C&C 伺服器接收到的待處理消息
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
