WolfsBane Bagdør
Den Kina-tilpassede Advanced Persistent Threat (APT) gruppe Gelsemium er blevet knyttet til en ny Linux-bagdør kaldet WolfsBane. Dette værktøj bliver angiveligt brugt i cyberoperationer, der sandsynligvis er rettet mod Øst- og Sydøstasien, hvilket markerer en betydelig udvikling i gruppens taktik.
Indholdsfortegnelse
WolfsBane: En Linux-tilpasning af Gelsevirine
WolfsBane menes at være Linux-varianten af Gelsevirine, en bagdør, der har været brugt på Windows-systemer siden 2014. Ved siden af WolfsBane har forskere identificeret et andet tidligere udokumenteret implantat, FireWood, som er knyttet til en separat malware-pakke ved navn Project Wood. Selvom FireWood foreløbigt er blevet tilskrevet Gelsemium, foreslår eksperter, at det også kan deles på tværs af flere hackinggrupper på linje med Kina.
Disse bagdøre er designet til at udføre cyberspionage ved at indsamle følsomme data, herunder systemdetaljer, legitimationsoplysninger og filer. De opretholder også langsigtet adgang til målrettede systemer, hvilket muliggør snigende operationer og langvarig efterretningsindsamling.
Usikker indledende adgang og sofistikerede teknikker
Den specifikke metode, der bruges til at få indledende adgang, er stadig uklar. Det er dog mistanke om, at Gelsemium udnyttede en upatchet webapplikationssårbarhed til at installere web-shells, som derefter blev brugt til at levere WolfsBane-bagdøren via en dropper.
WolfsBane anvender det modificerede open source BEURK rootkit til at skjule dets aktiviteter på Linux-systemer, mens de udfører kommandoer fra en fjernserver. Tilsvarende bruger FireWood et rootkit-modul på kerneniveau kaldet usbdev.ko til at skjule processer og udføre kommandoer snigende.
Første Linux Malware-kampagne af Gelsemium
Brugen af WolfsBane og FireWood repræsenterer Gelsemiums første dokumenterede implementering af Linux-baseret malware, hvilket signalerer et skift i deres målretningsfokus. Denne udvikling fremhæver koncernens tilpasningsevne og interesse i at udvide sin operationelle rækkevidde.
Voksende fokus på Linux-systemer i APT-landskabet
Den stigende brug af Linux-systemer af trusselsaktører som Gelsemium afspejler bredere tendenser i APT-økosystemet. Efterhånden som organisationer forbedrer deres forsvar med e-mail- og slutpunktsdetektionsteknologier, inklusive Microsofts standarddeaktivering af VBA-makroer og den stigende anvendelse af endpoint detection and response (EDR)-løsninger, pivoterer angribere mod alternative platforme.
Den strategiske målretning af Linux-miljøer understreger behovet for robuste, flerlagede sikkerhedstilgange, der er i stand til at opdage og afbøde sådanne avancerede trusler.
