WolfsBane Backdoor

중국과 연계된 Advanced Persistent Threat(APT) 그룹인 Gelsemium이 WolfsBane이라는 새로운 Linux 백도어와 연결되었습니다. 이 도구는 동아시아와 동남아시아를 겨냥한 사이버 작전에 사용되고 있는 것으로 알려졌으며, 이는 이 그룹의 전술에 상당한 진화를 의미합니다.

WolfsBane: Gelsevirine의 Linux 적응

WolfsBane은 2014년부터 Windows 시스템에서 사용된 백도어인 Gelsevirine의 Linux 변형으로 여겨진다. WolfsBane과 함께 연구자들은 이전에 문서화되지 않은 또 다른 임플란트인 FireWood를 발견했는데, 이는 Project Wood라는 별도의 맬웨어 제품군과 연결되어 있다. FireWood는 Gelsemium에 기인한 것으로 잠정적으로 추정되지만, 전문가들은 중국과 연계된 여러 해킹 그룹에서도 공유될 수 있다고 제안한다.

이러한 백도어는 시스템 세부 정보, 자격 증명 및 파일을 포함한 민감한 데이터를 수집하여 사이버 스파이 활동을 수행하도록 설계되었습니다. 또한 대상 시스템에 대한 장기 액세스를 유지하여 은밀한 작전과 장기적인 정보 수집을 가능하게 합니다.

불확실한 초기 접근 및 정교한 기술

초기 접근을 얻기 위해 사용된 구체적인 방법은 여전히 불분명합니다. 그러나 Gelsemium이 패치되지 않은 웹 애플리케이션 취약성을 악용하여 웹 셸을 설치한 다음 이를 사용하여 드로퍼를 통해 WolfsBane 백도어를 전달한 것으로 의심됩니다.

WolfsBane은 원격 서버에서 명령을 실행하는 동안 Linux 시스템에서 활동을 숨기기 위해 수정된 오픈소스 BEURK 루트킷을 사용합니다. 마찬가지로 FireWood는 usbdev.ko라는 커널 수준 루트킷 모듈을 사용하여 프로세스를 숨기고 명령을 은밀하게 실행합니다.

Gelsemium의 첫 번째 Linux 맬웨어 캠페인

WolfsBane과 FireWood의 사용은 Gelsemium이 Linux 기반 맬웨어를 처음으로 문서화하여 배포한 것을 나타내며, 타겟팅 초점의 변화를 알립니다. 이러한 발전은 그룹의 적응력과 운영 범위 확장에 대한 관심을 강조합니다.

APT 환경에서 Linux 시스템에 대한 집중 증가

Gelsemium과 같은 위협 행위자가 Linux 시스템을 점점 더 많이 사용하는 것은 APT 생태계의 더 광범위한 추세를 반영합니다. 조직이 이메일 및 엔드포인트 탐지 기술로 방어를 강화함에 따라, 여기에는 Microsoft의 VBA 매크로 기본 비활성화 및 엔드포인트 탐지 및 대응(EDR) 솔루션 채택 증가가 포함되며, 공격자는 대체 플랫폼으로 선회하고 있습니다.

Linux 환경을 전략적으로 타겟팅한다는 것은 이러한 고급 위협을 탐지하고 완화할 수 있는 강력하고 다층적인 보안 접근 방식의 필요성을 강조합니다.