ESETは9月14日(米国時間)、「You never walk alone: The SideWalk backdoor gets a Linux variant|WeLiveSecurity」において、Linuxを標的にするバックドア型マルウェア「SideWalk」の亜種を発見したと伝えた。この亜種は2021年2月に香港の大学に対し、初めて展開されたことが確認されている。

You never walk alone: The SideWalk backdoor gets a Linux variant|WeLiveSecurity

ESETのセキュリティ研究者が、持続的標的型攻撃(APT: Advanced Persistent Threat)グループである「SparklingGoblin」が使用するSideWalkバックドアのLinux亜種を観測した。ターゲットとなった大学は、2020年5月の学生抗議デモの際に一度SparklingGoblinからサイバー攻撃を受けたことがある大学とされている。

SparklingGoblinは、APT41やBARIUMと一部重複する戦術、技術、手順を持つ持続的標的型攻撃グループ。東アジアや東南アジアを主にターゲットにしているが、世界中の幅広い組織や業種も標的にしており、特に学術部門に重点を置いていることが確認されている。

SideWalkバックドアは、SparklingGoblinが主に使用しているWindowsを標的としたマルウェア。特定されたLinux亜種はSparklingGoblinが使用する各種ツールと似たコードが複数あることに加え、SparklingGoblinに使われていたコマンド&コントロール(C2: Command and Control)のアドレスが使われていることが判明している。そのため、ESETはこのマルウェアをSparklingGoblinによるものだと判断している。

ESETの調査によると、このSideWalkのLinux亜種に感染した被害者は今のところ1人だけだったという。ただし、このグループは長期間にわたって香港の大学を継続的に標的にしており、プリントサーバ、メールサーバ、学生のスケジュールや履修登録を管理するためのサーバなど、複数の主要なサーバの侵害に成功していることが確認されている。