WolfsBane Backdoor
A Kínához igazodó Advanced Persistent Threat (APT) csoportot, a Gelsemiumot összekapcsolták egy új, WolfsBane nevű Linux hátsó ajtóval. Ezt az eszközt állítólag olyan kiberműveletekben használják, amelyek valószínűleg Kelet- és Délkelet-Ázsiát célozzák, ami jelentős fejlődést jelez a csoport taktikájában.
Tartalomjegyzék
WolfsBane: A Gelsevirine Linux-adaptációja
A WolfsBane a feltételezések szerint a Gelsevirine Linux-változata, egy hátsó ajtó, amelyet 2014 óta használnak Windows rendszereken. A WolfsBane mellett a kutatók egy másik, korábban nem dokumentált implantátumot is azonosítottak, a FireWood-ot, amely egy különálló, Project Wood nevű rosszindulatú programcsomaghoz kapcsolódik. Bár a FireWood-ot feltételesen a Gelsemiumnak tulajdonították, a szakértők szerint több, Kínával összefüggő hackercsoport is megoszthatja.
Ezeket a hátsó ajtókat úgy tervezték, hogy kiberkémkedést hajtsanak végre érzékeny adatok begyűjtésével, beleértve a rendszer részleteit, hitelesítő adatait és fájljait. Ezenkívül hosszú távú hozzáférést biztosítanak a célzott rendszerekhez, lehetővé téve a lopakodó műveleteket és a hosszan tartó információgyűjtést.
Bizonytalan kezdeti hozzáférés és kifinomult technikák
A kezdeti hozzáférés megszerzéséhez használt konkrét módszer továbbra is tisztázatlan. Azonban a gyanú szerint a Gelsemium egy kijavítatlan webalkalmazás-sebezhetőséget használt ki webhéjak telepítésére, amelyeket aztán a WolfsBane hátsó ajtó továbbítására használtak egy dropperen keresztül.
A WolfsBane a módosított nyílt forráskódú BEURK rootkitet használja, hogy elrejtse tevékenységeit Linux rendszereken, miközben parancsokat hajt végre távoli szerverről. Hasonlóképpen, a FireWood az usbdev.ko nevű kernel szintű rootkit modult használja a folyamatok elrejtésére és a parancsok rejtett végrehajtására.
Az első Linux malware kampány a Gelsemiumtól
A WolfsBane és a FireWood használata a Gelsemium első dokumentált Linux-alapú kártevő-telepítését jelenti, jelezve a célzási fókusz elmozdulását. Ez a fejlesztés rávilágít a csoport alkalmazkodóképességére és működési hatókörének bővítése iránti érdeklődésére.
Növekvő hangsúly a Linux rendszerekre az APT tájban
A Linux-rendszerek növekvő használata az olyan fenyegetések szereplői által, mint a Gelsemium, az APT ökoszisztéma szélesebb tendenciáit tükrözi. Ahogy a szervezetek e-mail- és végpontészlelési technológiákkal erősítik védelmüket, ideértve a VBA-makrók Microsoft általi alapértelmezett letiltását és a végpont-észlelési és válaszadási (EDR) megoldások növekvő elterjedését, a támadók az alternatív platformok felé fordulnak.
A Linux-környezetek stratégiai célzása aláhúzza a robusztus, többrétegű biztonsági megközelítések szükségességét, amelyek képesek észlelni és mérsékelni az ilyen fejlett fenyegetéseket.
