WolfsBane Backdoor
Обвързаната с Китай Advanced Persistent Threat (APT) група Gelsemium е свързана с нов Linux backdoor, наречен WolfsBane. Съобщава се, че този инструмент се използва в кибер операции, вероятно насочени към Източна и Югоизточна Азия, отбелязвайки значителна еволюция в тактиката на групата.
Съдържание
WolfsBane: Linux адаптация на Gelsevirine
Смята се, че WolfsBane е Linux вариантът на Gelsevirine, задна вратичка, която се използва в Windows системи от 2014 г. Наред с WolfsBane, изследователите са идентифицирали друг недокументиран досега имплант, FireWood, който е свързан с отделен пакет за зловреден софтуер, наречен Project Wood. Въпреки че FireWood условно се приписва на Gelsemium, експерти предполагат, че може да се споделя и между множество хакерски групи, свързани с Китай.
Тези задни врати са предназначени за извършване на кибер шпионаж чрез събиране на чувствителни данни, включително системни подробности, идентификационни данни и файлове. Те също така поддържат дългосрочен достъп до целеви системи, позволявайки скрити операции и продължително събиране на разузнавателна информация.
Несигурен първоначален достъп и сложни техники
Конкретният метод, използван за получаване на първоначален достъп, остава неясен. Подозира се обаче, че Gelsemium е използвал непоправена уязвимост на уеб приложение, за да инсталира уеб черупки, които след това са били използвани за доставяне на задната врата на WolfsBane чрез капкомер.
WolfsBane използва модифициран руткит BEURK с отворен код, за да скрие своите дейности на Linux системи, докато изпълнява команди от отдалечен сървър. По същия начин FireWood използва руткит модул на ниво ядро, наречен usbdev.ko, за да скрие процесите и да изпълнява скрито команди.
Първата кампания за злонамерен софтуер за Linux от Gelsemium
Използването на WolfsBane и FireWood представлява първото документирано внедряване на Gelsemium на базиран на Linux злонамерен софтуер, което сигнализира за промяна в техния фокус на насочване. Това развитие подчертава адаптивността на групата и интереса й към разширяване на нейния оперативен обхват.
Нарастващ фокус върху Linux системите в APT ландшафта
Нарастващото използване на Linux системи от заплахи като Gelsemium отразява по-широки тенденции в APT екосистемата. Тъй като организациите подобряват защитата си с имейли и технологии за откриване на крайни точки, включително деактивирането по подразбиране на Microsoft на VBA макроси и нарастващото приемане на решения за откриване и отговор на крайни точки (EDR), нападателите се насочват към алтернативни платформи.
Стратегическото насочване на Linux средите подчертава необходимостта от стабилни, многопластови подходи за сигурност, способни да откриват и смекчават такива напреднали заплахи.
