Porta sul retro di WolfsBane
Il gruppo Advanced Persistent Threat (APT) allineato alla Cina Gelsemium è stato collegato a una nuova backdoor Linux chiamata WolfsBane. Questo strumento sarebbe utilizzato in operazioni informatiche probabilmente mirate all'Asia orientale e sud-orientale, segnando una significativa evoluzione nelle tattiche del gruppo.
Sommario
WolfsBane: un adattamento Linux di Gelsevirine
Si ritiene che WolfsBane sia la variante Linux di Gelsevirine, una backdoor utilizzata sui sistemi Windows dal 2014. Oltre a WolfsBane, i ricercatori hanno identificato un altro impianto non documentato in precedenza, FireWood, che è legato a una suite di malware separata denominata Project Wood. Sebbene FireWood sia stato provvisoriamente attribuito a Gelsemium, gli esperti suggeriscono che potrebbe anche essere condiviso tra più gruppi di hacker allineati con la Cina.
Queste backdoor sono progettate per effettuare attività di cyber spionaggio raccogliendo dati sensibili, tra cui dettagli di sistema, credenziali e file. Mantengono inoltre un accesso a lungo termine ai sistemi presi di mira, consentendo operazioni furtive e una raccolta prolungata di informazioni.
Accesso iniziale incerto e tecniche sofisticate
Il metodo specifico utilizzato per ottenere l'accesso iniziale rimane poco chiaro. Tuttavia, si sospetta che Gelsemium abbia sfruttato una vulnerabilità di applicazione web non patchata per installare web shell, che sono state poi utilizzate per distribuire la backdoor WolfsBane tramite un dropper.
WolfsBane impiega il rootkit open source modificato BEURK per nascondere le sue attività sui sistemi Linux mentre esegue comandi da un server remoto. Allo stesso modo, FireWood utilizza un modulo rootkit a livello kernel chiamato usbdev.ko per nascondere i processi ed eseguire i comandi furtivamente.
Prima campagna malware Linux di Gelsemium
L'uso di WolfsBane e FireWood rappresenta il primo deployment documentato di malware basato su Linux da parte di Gelsemium, segnalando un cambiamento nel loro focus di targeting. Questo sviluppo evidenzia l'adattabilità del gruppo e l'interesse nell'espandere la sua portata operativa.
Crescente attenzione ai sistemi Linux nel panorama APT
Il crescente utilizzo di sistemi Linux da parte di attori di minacce come Gelsemium riflette tendenze più ampie nell'ecosistema APT. Mentre le organizzazioni potenziano le loro difese con tecnologie di rilevamento di e-mail ed endpoint, tra cui la disattivazione predefinita di Microsoft delle macro VBA e la crescente adozione di soluzioni di rilevamento e risposta degli endpoint (EDR), gli aggressori si stanno orientando verso piattaforme alternative.
L'attenzione strategica rivolta agli ambienti Linux sottolinea la necessità di approcci di sicurezza solidi e multilivello, in grado di rilevare e mitigare minacce così avanzate.