WolfsBane Backdoor
Kiinalainen Advanced Persistent Threat (APT) -ryhmä Gelsemium on linkitetty uuteen Linux-takaoveen nimeltä WolfsBane. Tätä työkalua käytetään tietojen mukaan kyberoperaatioissa, jotka todennäköisesti kohdistuvat Itä- ja Kaakkois-Aasiaan, mikä merkitsee merkittävää kehitystä ryhmän taktiikoissa.
Sisällysluettelo
WolfsBane: Gelsevirinen Linux-sovitus
WolfsBanen uskotaan olevan Linux-versio Gelsevirinen takaovesta, jota on käytetty Windows-järjestelmissä vuodesta 2014 lähtien. WolfsBanen ohella tutkijat ovat tunnistaneet toisen aiemmin dokumentoimattoman implantin, FireWoodin, joka on sidottu erilliseen Project Wood -nimiseen haittaohjelmapakettiin. Vaikka FireWood on alustavasti laskettu Gelsemiumin ansioksi, asiantuntijat ehdottavat, että se voidaan jakaa myös useiden Kiinan kanssa linjassa olevien hakkerointiryhmien kesken.
Nämä takaovet on suunniteltu suorittamaan kybervakoilua keräämällä arkaluonteisia tietoja, mukaan lukien järjestelmätiedot, tunnistetiedot ja tiedostot. Ne ylläpitävät myös pitkän aikavälin pääsyä kohdennettuihin järjestelmiin, mikä mahdollistaa salaperäiset toiminnot ja pitkittyneen tiedustelutietojen keruun.
Epävarma alkupääsy ja kehittyneet tekniikat
Alkuperäisen pääsyn saamiseen käytetty erityinen menetelmä on edelleen epäselvä. Kuitenkin epäillään, että Gelsemium käytti hyväkseen korjaamatonta verkkosovellushaavoittuvuutta asentaakseen web-kuoret, joita käytettiin sitten toimittamaan WolfsBane-takaovi dropperin kautta.
WolfsBane käyttää muokattua avoimen lähdekoodin BEURK rootkitiä piilottaakseen toimintansa Linux-järjestelmissä suorittaessaan komentoja etäpalvelimelta. Samoin FireWood käyttää ydintason rootkit-moduulia nimeltä usbdev.ko prosessien piilottamiseen ja komentojen suorittamiseen salaa.
Gelsemiumin ensimmäinen Linux-haittaohjelmakampanja
WolfsBanen ja FireWoodin käyttö edustaa Gelsemiumin ensimmäistä dokumentoitua Linux-pohjaisten haittaohjelmien käyttöönottoa, mikä merkitsee muutosta niiden kohdistuksessa. Tämä kehitys korostaa konsernin sopeutumiskykyä ja kiinnostusta operatiivisen ulottuvuuden laajentamiseen.
Kasvava keskittyminen Linux-järjestelmiin APT-maisemassa
Gelsemiumin kaltaisten uhkien lisääntyvä käyttö Linux-järjestelmissä kuvastaa laajempia suuntauksia APT-ekosysteemissä. Kun organisaatiot parantavat puolustustaan sähköposti- ja päätepisteiden tunnistustekniikoilla, mukaan lukien Microsoftin oletusarvoisesti poistamalla VBA-makrot käytöstä ja päätepisteiden tunnistus- ja vastausratkaisujen (EDR) yleistymisestä, hyökkääjät siirtyvät vaihtoehtoisiin alustoihin.
Linux-ympäristöjen strateginen kohdistaminen korostaa tarvetta vankille, monitasoisille suojausmenetelmille, jotka pystyvät havaitsemaan ja vähentämään tällaisia kehittyneitä uhkia.
