Porta del darrere de WolfsBane
El grup d'amenaça persistent avançada (APT) alineat a la Xina Gelsemium s'ha vinculat a una nova porta del darrere de Linux anomenada WolfsBane. S'informa que aquesta eina s'utilitza en operacions cibernètiques dirigides probablement a l'est i el sud-est asiàtic, cosa que suposa una evolució significativa en les tàctiques del grup.
Taula de continguts
WolfsBane: una adaptació a Linux de Gelsevirine
Es creu que WolfsBane és la variant Linux de Gelsevirine, una porta del darrere que s'utilitza als sistemes Windows des del 2014. Al costat de WolfsBane, els investigadors han identificat un altre implant no documentat anteriorment, FireWood, que està lligat a un conjunt de programari maliciós separat anomenat Project Wood. Tot i que FireWood s'ha atribuït provisionalment a Gelsemium, els experts suggereixen que també es podria compartir entre diversos grups de pirateria informàtica alineats amb la Xina.
Aquestes portes del darrere estan dissenyades per dur a terme ciberespionatge mitjançant la recollida de dades sensibles, inclosos els detalls del sistema, les credencials i els fitxers. També mantenen l'accés a llarg termini a sistemes específics, permetent operacions sigilses i la recopilació d'intel·ligència perllongada.
Accés inicial incert i tècniques sofisticades
El mètode específic utilitzat per obtenir l'accés inicial encara no està clar. Tanmateix, se sospita que Gelsemium va explotar una vulnerabilitat d'una aplicació web sense pegats per instal·lar shells web, que després es van utilitzar per lliurar la porta posterior de WolfsBane mitjançant un comptagotes.
WolfsBane utilitza el rootkit BEURK de codi obert modificat per ocultar les seves activitats en sistemes Linux mentre executa ordres des d'un servidor remot. De la mateixa manera, FireWood utilitza un mòdul rootkit a nivell del nucli anomenat usbdev.ko per ocultar processos i executar ordres de manera sigilosa.
Primera campanya de programari maliciós Linux de Gelsemium
L'ús de WolfsBane i FireWood representa el primer desplegament documentat de Gelsemium de programari maliciós basat en Linux, indicant un canvi en el seu focus d'orientació. Aquest desenvolupament posa de manifest la capacitat d'adaptació i l'interès del grup per ampliar el seu abast operatiu.
Enfocament creixent en els sistemes Linux en el paisatge APT
L'ús creixent de sistemes Linux per part d'actors d'amenaça com Gelsemium reflecteix tendències més àmplies a l'ecosistema APT. A mesura que les organitzacions milloren les seves defenses amb tecnologies de detecció de punts finals i de correu electrònic, inclosa la desactivació predeterminada de les macros VBA de Microsoft i l'adopció creixent de solucions de detecció i resposta de punts finals (EDR), els atacants es dirigeixen cap a plataformes alternatives.
L'orientació estratègica dels entorns Linux subratlla la necessitat d'enfocaments de seguretat robustos i multicapa capaços de detectar i mitigar aquestes amenaces avançades.
