WolfsBane Backdoor
Kinijoje suderinta „Advanced Persistent Threat“ (APT) grupė „Gelsemium“ buvo susieta su nauju „Linux“ užpakaliniu dureliu pavadinimu „WolfsBane“. Pranešama, kad šis įrankis naudojamas kibernetinėse operacijose, kurios greičiausiai yra nukreiptos į Rytų ir Pietryčių Aziją, o tai žymi reikšmingą grupės taktikos evoliuciją.
Turinys
WolfsBane: Gelsevirine Linux pritaikymas
Manoma, kad WolfsBane yra Gelsevirine, užpakalinių durų, naudojamų Windows sistemose nuo 2014 m., Linux variantas. Kartu su WolfsBane mokslininkai nustatė kitą anksčiau nedokumentuotą implantą FireWood, susietą su atskiru kenkėjiškų programų rinkiniu, pavadintu Project Wood. Nors „FireWood“ preliminariai buvo priskirta „Gelsemium“, ekspertai teigia, kad ji taip pat gali būti dalijama kelioms įsilaužimo grupėms, susietoms su Kinija.
Šios užpakalinės durys skirtos vykdyti kibernetinį šnipinėjimą renkant neskelbtinus duomenis, įskaitant sistemos informaciją, kredencialus ir failus. Jie taip pat palaiko ilgalaikę prieigą prie tikslinių sistemų, leidžiančių atlikti slaptas operacijas ir ilgai rinkti žvalgybos informaciją.
Neaiški pradinė prieiga ir sudėtingi metodai
Konkretus būdas gauti pradinę prieigą lieka neaiškus. Tačiau įtariama, kad „Gelsemium“ išnaudojo nepataisytą žiniatinklio programos pažeidžiamumą, kad įdiegtų žiniatinklio apvalkalus, kurie vėliau buvo naudojami „WolfsBane“ užpakalinėms durims pateikti per lašintuvą.
WolfsBane naudoja modifikuotą atvirojo kodo BEURK rootkit, kad paslėptų savo veiklą Linux sistemose vykdydama komandas iš nuotolinio serverio. Panašiai „FireWood“ naudoja branduolio lygio rootkit modulį, vadinamą usbdev.ko, kad paslėptų procesus ir slaptai vykdytų komandas.
Pirmoji „Gelsemium“ Linux kenkėjiškų programų kampanija
„WolfsBane“ ir „FireWood“ naudojimas yra pirmasis „Gelsemium“ dokumentais patvirtintas „Linux“ pagrindu veikiančios kenkėjiškos programos diegimas, o tai rodo, kad pasikeitė jų taikymo dėmesys. Ši plėtra išryškina grupės prisitaikymą ir susidomėjimą plėsti savo veiklos aprėptį.
Didėjantis dėmesys Linux sistemoms APT kraštovaizdyje
Didėjantis „Linux“ sistemų naudojimas grėsmės veikėjų, tokių kaip „Gelsemium“, atspindi platesnes APT ekosistemos tendencijas. Organizacijoms tobulinant savo apsaugą el. pašto ir galinių taškų aptikimo technologijomis, įskaitant „Microsoft“ numatytąjį VBA makrokomandų išjungimą ir vis dažniau naudojamus galinių taškų aptikimo ir atsako (EDR) sprendimus, užpuolikai kreipiasi į alternatyvias platformas.
Strateginis Linux aplinkų taikymas pabrėžia tvirtų, daugiasluoksnių saugumo metodų, galinčių aptikti ir sušvelninti tokias pažangias grėsmes, poreikį.
