WolfsBane Backdoor
Ķīnai saskaņotā Advanced Persistent Threat (APT) grupa Gelsemium ir saistīta ar jaunu Linux aizmugures durvīm ar nosaukumu WolfsBane. Tiek ziņots, ka šis rīks tiek izmantots kiberoperācijās, kas, visticamāk, ir vērstas uz Austrumāziju un Dienvidaustrumu Āziju, iezīmējot ievērojamu grupas taktikas attīstību.
Satura rādītājs
WolfsBane: Gelsevirine adaptācija Linux
Tiek uzskatīts, ka WolfsBane ir Gelsevirine Linux variants, aizmugures durvis, kas Windows sistēmās tiek izmantotas kopš 2014. gada. Līdzās WolfsBane pētnieki ir identificējuši citu iepriekš nedokumentētu implantu FireWood, kas ir saistīts ar atsevišķu ļaunprātīgas programmatūras komplektu ar nosaukumu Project Wood. Lai gan FireWood provizoriski tika attiecināts uz Gelsemium, eksperti norāda, ka to var dalīt arī vairākās hakeru grupās, kas ir saskaņotas ar Ķīnu.
Šīs aizmugures durvis ir paredzētas kiberspiegošanai, ievācot sensitīvus datus, tostarp sistēmas informāciju, akreditācijas datus un failus. Tie arī nodrošina ilgtermiņa piekļuvi mērķsistēmām, nodrošinot slepenas darbības un ilgstošu izlūkdatu vākšanu.
Nenoteikta sākotnējā piekļuve un sarežģītas metodes
Konkrētā sākotnējās piekļuves iegūšanas metode joprojām nav skaidra. Tomēr pastāv aizdomas, ka Gelsemium izmantoja nelabotu tīmekļa lietojumprogrammu ievainojamību, lai instalētu tīmekļa čaulas, kuras pēc tam tika izmantotas, lai ar pilinātāju piegādātu WolfsBane aizmugures durvis.
WolfsBane izmanto modificēto atvērtā koda BEURK rootkit, lai paslēptu savas darbības Linux sistēmās, vienlaikus izpildot komandas no attālā servera. Tāpat FireWood izmanto kodola līmeņa rootkit moduli ar nosaukumu usbdev.ko, lai slēptu procesus un slepeni izpildītu komandas.
Gelsemium pirmā Linux ļaunprātīgas programmatūras kampaņa
WolfsBane un FireWood izmantošana ir Gelsemium pirmā dokumentētā uz Linux balstītas ļaunprātīgas programmatūras izvietošana, kas norāda uz to mērķauditorijas atlases maiņu. Šī attīstība izceļ grupas pielāgošanās spēju un interesi paplašināt savu darbības apjomu.
Pieaugoša uzmanība Linux sistēmām APT ainavā
Tādu apdraudējumu dalībnieku kā Gelsemium pieaugošā Linux sistēmu izmantošana atspoguļo plašākas tendences APT ekosistēmā. Tā kā organizācijas uzlabo savu aizsardzību ar e-pasta un galapunktu noteikšanas tehnoloģijām, tostarp Microsoft noklusējuma VBA makro atspējošanu un galapunktu noteikšanas un atbildes (EDR) risinājumu pieaugošo ieviešanu, uzbrucēji izvēlas alternatīvas platformas.
Linux vides stratēģiskā mērķēšana uzsver nepieciešamību pēc stabilām, daudzslāņu drošības metodēm, kas spēj atklāt un mazināt šādus progresīvus draudus.
