WolfsBane'i tagauks
Hiinaga kooskõlastatud Advanced Persistent Threat (APT) grupp Gelsemium on seotud uue Linuxi tagauksega nimega WolfsBane. Seda tööriista kasutatakse väidetavalt küberoperatsioonides, mis on tõenäoliselt suunatud Ida- ja Kagu-Aasiale, mis tähistab olulist arengut grupi taktikas.
Sisukord
WolfsBane: Gelsevirine’i Linuxi kohandus
WolfsBane arvatakse olevat Gelsevirine'i Linuxi variant, tagauks, mida on Windowsi süsteemides kasutatud alates 2014. aastast. Lisaks WolfsBane'ile on teadlased tuvastanud veel ühe varem dokumentideta implantaadi FireWood, mis on seotud eraldi pahavarakomplektiga Project Wood. Kuigi FireWood on esialgselt omistatud Gelsemiumile, väidavad eksperdid, et seda võidakse jagada ka mitme Hiinaga seotud häkkimisrühma vahel.
Need tagauksed on loodud küberspionaaži teostamiseks, kogudes tundlikke andmeid, sealhulgas süsteemi üksikasju, mandaate ja faile. Samuti säilitavad nad pikaajalise juurdepääsu sihitud süsteemidele, võimaldades salajasi toiminguid ja pikaajalist luureandmete kogumist.
Ebakindel esialgne juurdepääs ja keerukad tehnikad
Esialgse juurdepääsu saamiseks kasutatav konkreetne meetod jääb ebaselgeks. Siiski kahtlustatakse, et Gelsemium kasutas parandamata veebirakenduse haavatavust veebikestade installimiseks, mida seejärel kasutati WolfsBane'i tagaukse edastamiseks tilguti kaudu.
WolfsBane kasutab muudetud avatud lähtekoodiga BEURK juurkomplekti, et varjata oma tegevusi Linuxi süsteemides, täites samal ajal kaugserverist käske. Samamoodi kasutab FireWood protsesside varjamiseks ja käskude vargsi täitmiseks kerneli tasemel juurkomplekti moodulit nimega usbdev.ko.
Gelsemiumi esimene Linuxi pahavarakampaania
WolfsBane'i ja FireWoodi kasutamine kujutab endast Gelsemiumi esimest Linuxi-põhise pahavara dokumenteeritud juurutamist, mis annab märku nende sihtimise fookuse muutumisest. See areng tõstab esile grupi kohanemisvõimet ja huvi oma tegevusulatuse laiendamise vastu.
Kasvav tähelepanu Linuxi süsteemidele APT maastikul
Linuxi süsteemide sagenev kasutamine ohus osalejate, nagu Gelsemium, poolt peegeldab APT ökosüsteemi laiemaid suundumusi. Kuna organisatsioonid täiustavad oma kaitset e-posti ja lõpp-punkti tuvastamise tehnoloogiatega, sealhulgas Microsofti poolt VBA makrode vaikimisi keelamise ja lõpp-punkti tuvastamise ja reageerimise (EDR) lahenduste kasvava kasutuselevõtuga, pöörduvad ründajad alternatiivsete platvormide poole.
Linuxi keskkondade strateegiline sihtimine rõhutab vajadust tugevate mitmekihiliste turbemeetodite järele, mis suudavad selliseid arenenud ohte tuvastada ja leevendada.
