Zadní vrátka WolfsBane
Skupina Gelsemium s názvem Advanced Persistent Threat (APT) spojená s Čínou byla propojena s novým linuxovým backdoorem nazvaným WolfsBane. Tento nástroj se údajně používá v kybernetických operacích pravděpodobně zaměřených na východní a jihovýchodní Asii, což znamená významný vývoj v taktice skupiny.
Obsah
WolfsBane: Linuxová adaptace Gelsevirinu
WolfsBane je považován za linuxovou variantu Gelsevirine, zadní vrátka, která se na systémech Windows používá od roku 2014. Vedle WolfsBane výzkumníci identifikovali další dříve nezdokumentovaný implantát, FireWood, který je spojen se samostatnou malwarovou sadou s názvem Project Wood. Ačkoli byl FireWood předběžně připisován Gelsemium, odborníci naznačují, že by mohl být sdílen i mezi několika hackerskými skupinami spojenými s Čínou.
Tato zadní vrátka jsou navržena k provádění kybernetické špionáže shromažďováním citlivých dat, včetně systémových podrobností, přihlašovacích údajů a souborů. Udržují také dlouhodobý přístup k cíleným systémům, což umožňuje tajné operace a dlouhodobé shromažďování zpravodajských informací.
Nejistý počáteční přístup a sofistikované techniky
Konkrétní metoda použitá k získání počátečního přístupu zůstává nejasná. Existuje však podezření, že Gelsemium zneužil neopravenou zranitelnost webové aplikace k instalaci webových shellů, které byly poté použity k doručení zadních vrátek WolfsBane pomocí kapátka.
WolfsBane využívá upravený open-source BEURK rootkit ke skrytí svých aktivit v systémech Linux při provádění příkazů ze vzdáleného serveru. Podobně FireWood využívá rootkitový modul na úrovni jádra nazvaný usbdev.ko k utajení procesů a provádění příkazů nenápadně.
První linuxová malwarová kampaň od Gelsemium
Použití WolfsBane a FireWood představuje první zdokumentované nasazení malwaru založeného na Linuxu Gelsemium, což signalizuje posun v jejich zaměření. Tento vývoj podtrhuje adaptabilitu skupiny a zájem o rozšíření jejího provozního dosahu.
Rostoucí zaměření na linuxové systémy v prostředí APT
Rostoucí používání systémů Linux aktéry hrozeb, jako je Gelsemium, odráží širší trendy v ekosystému APT. S tím, jak organizace vylepšují svou obranu pomocí technologií detekce e-mailů a koncových bodů, včetně výchozího zakázání maker VBA od společnosti Microsoft a rostoucího zavádění řešení detekce a odezvy koncových bodů (EDR), útočníci se obracejí k alternativním platformám.
Strategické zaměření na linuxová prostředí podtrhuje potřebu robustních, vícevrstvých bezpečnostních přístupů schopných detekovat a zmírňovat takové pokročilé hrozby.
