الباب الخلفي لـ WolfsBane
تم ربط مجموعة التهديدات المتقدمة المستمرة (APT) التابعة للصين Gelsemium ببرنامج خبيث جديد لنظام Linux يسمى WolfsBane. ويقال إن هذه الأداة تُستخدم في عمليات إلكترونية من المرجح أن تستهدف شرق وجنوب شرق آسيا، مما يمثل تطورًا كبيرًا في تكتيكات المجموعة.
جدول المحتويات
WolfsBane: نسخة Linux من Gelsevirine
يُعتقد أن WolfsBane هو النسخة المخصصة لنظام Linux من Gelsevirine، وهو برنامج خلفي تم استخدامه في أنظمة Windows منذ عام 2014. وإلى جانب WolfsBane، حدد الباحثون برنامجًا آخر غير موثق سابقًا، FireWood، وهو مرتبط بمجموعة برامج ضارة منفصلة تسمى Project Wood. وعلى الرغم من أن FireWood قد تم نسبه بشكل مبدئي إلى Gelsemium، إلا أن الخبراء يشيرون إلى أنه قد يكون مشتركًا أيضًا بين مجموعات قرصنة متعددة متحالفة مع الصين.
تم تصميم هذه الأبواب الخلفية لتنفيذ عمليات تجسس إلكتروني من خلال جمع البيانات الحساسة، بما في ذلك تفاصيل النظام وبيانات الاعتماد والملفات. كما أنها تحافظ على الوصول طويل الأمد إلى الأنظمة المستهدفة، مما يتيح العمليات الخفية وجمع المعلومات الاستخباراتية لفترات طويلة.
الوصول الأولي غير المؤكد والتقنيات المعقدة
تظل الطريقة المحددة المستخدمة للحصول على الوصول الأولي غير واضحة. ومع ذلك، يُشتبه في أن شركة Gelsemium استغلت ثغرة في تطبيق ويب غير مُرقعة لتثبيت واجهات ويب، والتي استُخدمت بعد ذلك لتوصيل الباب الخلفي لـ WolfsBane عبر أداة إسقاط.
يستخدم WolfsBane برنامج BEURK rootkit مفتوح المصدر المعدل لإخفاء أنشطته على أنظمة Linux أثناء تنفيذ الأوامر من خادم بعيد. وعلى نحو مماثل، يستخدم FireWood وحدة rootkit على مستوى النواة تسمى usbdev.ko لإخفاء العمليات وتنفيذ الأوامر خلسة.
أول حملة برامج ضارة لنظام Linux بواسطة Gelsemium
يمثل استخدام WolfsBane وFireWood أول استخدام موثق من قبل شركة Gelsemium للبرامج الضارة المستندة إلى Linux، مما يشير إلى تحول في تركيزها على الاستهداف. ويسلط هذا التطور الضوء على قدرة المجموعة على التكيف واهتمامها بتوسيع نطاق عملها التشغيلي.
التركيز المتزايد على أنظمة Linux في عالم APT
يعكس الاستخدام المتزايد لأنظمة Linux من قبل الجهات الفاعلة في مجال التهديدات مثل Gelsemium اتجاهات أوسع في نظام APT البيئي. ومع قيام المؤسسات بتعزيز دفاعاتها باستخدام تقنيات البريد الإلكتروني واكتشاف نقاط النهاية، بما في ذلك تعطيل وحدات الماكرو VBA افتراضيًا من قِبل Microsoft والاعتماد المتزايد على حلول اكتشاف نقاط النهاية والاستجابة لها (EDR)، يتحول المهاجمون نحو منصات بديلة.
ويؤكد الاستهداف الاستراتيجي لبيئات Linux على الحاجة إلى اتباع نهج أمني قوي ومتعدد الطبقات قادر على اكتشاف مثل هذه التهديدات المتقدمة والتخفيف منها.
