דלת אחורית של WolfsBane

קבוצת Gelsemium המתואמת לסין (Advanced Persistent Threat) (APT) נקשרה לדלת אחורית חדשה של לינוקס בשם WolfsBane. לפי הדיווחים, הכלי הזה נמצא בשימוש בפעולות סייבר שככל הנראה מכוונות למזרח ודרום מזרח אסיה, מה שמסמן התפתחות משמעותית בטקטיקות של הקבוצה.

WolfsBane: עיבוד לינוקס של Gelsevirine

מאמינים ש-WolfsBane היא גרסת הלינוקס של Gelsevirine, דלת אחורית המופעלת במערכות Windows מאז 2014. לצד WolfsBane, חוקרים זיהו שתל נוסף שלא תועד בעבר, FireWood, שקשור לחבילת תוכנות זדוניות נפרדת בשם Project Wood. למרות ש-FireWood יוחסה באופן טנטטיבי ל-Gelsemium, מומחים טוענים שהיא עשויה להיות משותפת גם על פני קבוצות פריצה מרובות המתואמות עם סין.

דלתות אחוריות אלו נועדו לבצע ריגול סייבר על ידי קצירת נתונים רגישים, כולל פרטי מערכת, אישורים וקבצים. הם גם שומרים על גישה ארוכת טווח למערכות ממוקדות, מה שמאפשר פעולות חמקניות ואיסוף מודיעין ממושך.

גישה ראשונית לא ודאית וטכניקות מתוחכמות

השיטה הספציפית המשמשת להשגת גישה ראשונית נותרה לא ברורה. עם זאת, קיים חשד ש-Gelsemium ניצלה פגיעות של יישומי אינטרנט ללא תיקון כדי להתקין קונכיות אינטרנט, ששימשו לאחר מכן להעברת הדלת האחורית של WolfsBane באמצעות טפטפת.

WolfsBane משתמש ב-BEURK rootkit בקוד פתוח שהשתנה כדי להסתיר את פעילותה במערכות לינוקס תוך ביצוע פקודות משרת מרוחק. באופן דומה, FireWood משתמש במודול rootkit ברמת ליבה בשם usbdev.ko כדי להסתיר תהליכים ולבצע פקודות בגניבה.

קמפיין תוכנה זדונית ראשון של Linux מאת Gelsemium

השימוש ב-WolfsBane ו-FireWood מייצג את הפריסה המתועדת הראשונה של Gelsemium של תוכנות זדוניות מבוססות לינוקס, מה שמסמן על שינוי במיקוד המיקוד שלהם. התפתחות זו מדגישה את יכולת ההסתגלות והאינטרס של הקבוצה להרחיב את הטווח התפעולי שלה.

התמקדות גוברת במערכות לינוקס בנוף APT

השימוש הגובר במערכות לינוקס על ידי גורמי איומים כמו Gelsemium משקף מגמות רחבות יותר במערכת האקולוגית של APT. ככל שארגונים משפרים את ההגנה שלהם עם טכנולוגיות איתור דוא"ל ונקודות קצה, כולל השבתת ברירת המחדל של מיקרוסופט של פקודות מאקרו VBA והאימוץ הגובר של פתרונות זיהוי ותגובה של נקודות קצה (EDR), התוקפים פונים לעבר פלטפורמות חלופיות.

המיקוד האסטרטגי של סביבות לינוקס מדגיש את הצורך בגישות אבטחה חזקות ורב-שכבות המסוגלות לזהות ולהפחית איומים מתקדמים כאלה.

מגמות

הכי נצפה

טוען...