WolfsBane Backdoor
Η ευθυγραμμισμένη με την Κίνα ομάδα Advanced Persistent Threat (APT) Gelsemium έχει συνδεθεί με μια νέα κερκόπορτα Linux που ονομάζεται WolfsBane. Αυτό το εργαλείο φέρεται να χρησιμοποιείται σε επιχειρήσεις στον κυβερνοχώρο που πιθανώς στοχεύουν στην Ανατολική και Νοτιοανατολική Ασία, σηματοδοτώντας μια σημαντική εξέλιξη στην τακτική της ομάδας.
Πίνακας περιεχομένων
WolfsBane: Μια προσαρμογή Linux του Gelsevirine
Το WolfsBane πιστεύεται ότι είναι η παραλλαγή Linux του Gelsevirine, μια κερκόπορτα που χρησιμοποιείται σε συστήματα Windows από το 2014. Μαζί με το WolfsBane, οι ερευνητές εντόπισαν ένα άλλο εμφύτευμα που δεν είχε τεκμηριωθεί στο παρελθόν, το FireWood, το οποίο συνδέεται με μια ξεχωριστή σουίτα κακόβουλου λογισμικού που ονομάζεται Project Wood. Αν και το FireWood έχει αποδοθεί δοκιμαστικά στο Gelsemium, οι ειδικοί προτείνουν ότι μπορεί επίσης να κοινοποιηθεί σε πολλές ομάδες hacking που ευθυγραμμίζονται με την Κίνα.
Αυτές οι κερκόπορτες έχουν σχεδιαστεί για να πραγματοποιούν κατασκοπεία στον κυβερνοχώρο συλλέγοντας ευαίσθητα δεδομένα, συμπεριλαμβανομένων λεπτομερειών συστήματος, διαπιστευτηρίων και αρχείων. Διατηρούν επίσης μακροπρόθεσμη πρόσβαση σε στοχευμένα συστήματα, επιτρέποντας κρυφές επιχειρήσεις και παρατεταμένη συλλογή πληροφοριών.
Αβέβαιη αρχική πρόσβαση και εξελιγμένες τεχνικές
Η συγκεκριμένη μέθοδος που χρησιμοποιείται για την απόκτηση αρχικής πρόσβασης παραμένει ασαφής. Ωστόσο, υπάρχει η υποψία ότι το Gelsemium εκμεταλλεύτηκε μια ευπάθεια μη επιδιορθωμένης εφαρμογής web για να εγκαταστήσει κελύφη ιστού, τα οποία στη συνέχεια χρησιμοποιήθηκαν για την παράδοση της κερκόπορτας WolfsBane μέσω ενός σταγονόμετρου.
Το WolfsBane χρησιμοποιεί το τροποποιημένο rootkit ανοιχτού κώδικα BEURK για να κρύψει τις δραστηριότητές του σε συστήματα Linux ενώ εκτελεί εντολές από έναν απομακρυσμένο διακομιστή. Ομοίως, το FireWood χρησιμοποιεί μια λειτουργική μονάδα rootkit σε επίπεδο πυρήνα που ονομάζεται usbdev.ko για να κρύβει διεργασίες και να εκτελεί εντολές κρυφά.
Πρώτη καμπάνια κακόβουλου λογισμικού Linux από την Gelsemium
Η χρήση του WolfsBane και του FireWood αντιπροσωπεύει την πρώτη τεκμηριωμένη ανάπτυξη κακόβουλου λογισμικού που βασίζεται σε Linux από το Gelsemium, σηματοδοτώντας μια αλλαγή στην εστίασή τους. Αυτή η εξέλιξη υπογραμμίζει την προσαρμοστικότητα και το ενδιαφέρον του ομίλου για επέκταση της επιχειρησιακής του εμβέλειας.
Αυξανόμενη εστίαση στα συστήματα Linux στο τοπίο του APT
Η αυξανόμενη χρήση συστημάτων Linux από παράγοντες απειλών όπως το Gelsemium αντανακλά ευρύτερες τάσεις στο οικοσύστημα APT. Καθώς οι οργανισμοί ενισχύουν την άμυνά τους με τεχνολογίες ανίχνευσης email και τελικών σημείων, συμπεριλαμβανομένης της προεπιλεγμένης απενεργοποίησης των μακροεντολών VBA από τη Microsoft και της αυξανόμενης υιοθέτησης λύσεων εντοπισμού και απόκρισης τελικού σημείου (EDR), οι εισβολείς στρέφονται προς εναλλακτικές πλατφόρμες.
Η στρατηγική στόχευση περιβαλλόντων Linux υπογραμμίζει την ανάγκη για ισχυρές προσεγγίσεις ασφαλείας πολλαπλών επιπέδων ικανών να ανιχνεύουν και να μετριάζουν τέτοιες προηγμένες απειλές.
