WolfsBane Backdoor
Grupa Gelsemium povezana s Kinom za naprednu trajnu prijetnju (APT) povezana je s novim backdoorom za Linux pod nazivom WolfsBane. Ovaj se alat navodno koristi u cyber operacijama koje su vjerojatno usmjerene na istočnu i jugoistočnu Aziju, označavajući značajnu evoluciju u taktici skupine.
Sadržaj
WolfsBane: Linux adaptacija Gelsevirina
Vjeruje se da je WolfsBane Linux varijanta Gelsevirina, backdoor-a koji se koristi na Windows sustavima od 2014. Uz WolfsBane, istraživači su identificirali još jedan dosad nedokumentirani implantat, FireWood, koji je povezan s zasebnim paketom zlonamjernog softvera pod nazivom Project Wood. Iako se FireWood privremeno pripisuje Gelsemiumu, stručnjaci sugeriraju da bi ga također mogli dijeliti višestruke hakerske skupine povezane s Kinom.
Ta su stražnja vrata dizajnirana za izvođenje kibernetičke špijunaže prikupljanjem osjetljivih podataka, uključujući pojedinosti o sustavu, vjerodajnice i datoteke. Oni također održavaju dugoročni pristup ciljanim sustavima, omogućujući nevidljive operacije i dugotrajno prikupljanje obavještajnih podataka.
Nesiguran početni pristup i sofisticirane tehnike
Konkretna metoda korištena za dobivanje početnog pristupa ostaje nejasna. Međutim, sumnja se da je Gelsemium iskoristio nezakrpanu ranjivost web aplikacije kako bi instalirao web školjke, koje su zatim korištene za isporuku stražnjih vrata WolfsBane putem droppera.
WolfsBane koristi modificirani open-source BEURK rootkit za skrivanje svojih aktivnosti na Linux sustavima dok izvršava naredbe s udaljenog poslužitelja. Slično tome, FireWood koristi rootkit modul na razini jezgre koji se zove usbdev.ko za prikrivanje procesa i tajno izvršavanje naredbi.
Prva Gelsemiumova kampanja za malware za Linux
Korištenje WolfsBane i FireWood predstavlja Gelsemiumovu prvu dokumentiranu implementaciju zlonamjernog softvera temeljenog na Linuxu, signalizirajući promjenu u njihovom fokusu ciljanja. Ovaj razvoj događaja naglašava prilagodljivost grupe i interes za širenje njezinog operativnog dosega.
Sve veći fokus na Linux sustave u APT krajoliku
Sve veća upotreba Linux sustava od strane aktera prijetnji kao što je Gelsemium odražava šire trendove u APT ekosustavu. Kako organizacije poboljšavaju svoju obranu s tehnologijama otkrivanja e-pošte i krajnjih točaka, uključujući Microsoftovo zadano onemogućavanje VBA makronaredbi i sve veće prihvaćanje rješenja za otkrivanje krajnjih točaka i odgovor (EDR), napadači se okreću prema alternativnim platformama.
Strateško ciljanje Linux okruženja naglašava potrebu za robusnim, višeslojnim sigurnosnim pristupima sposobnim za otkrivanje i ublažavanje takvih naprednih prijetnji.
