Pintu Belakang WolfsBane
Kumpulan Gelsemium Advanced Persistent Threat (APT) sejajar China telah dikaitkan dengan pintu belakang Linux baharu yang dipanggil WolfsBane. Alat ini dilaporkan digunakan dalam operasi siber yang mungkin ditujukan ke Asia Timur dan Tenggara, menandakan evolusi ketara dalam taktik kumpulan itu.
Isi kandungan
WolfsBane: Adaptasi Linux Gelsevirine
WolfsBane dipercayai sebagai varian Linux Gelsevirine, pintu belakang yang telah digunakan pada sistem Windows sejak 2014. Di samping WolfsBane, penyelidik telah mengenal pasti satu lagi implan yang tidak didokumenkan sebelum ini, FireWood, yang terikat pada suite perisian hasad berasingan bernama Project Wood. Walaupun FireWood telah dikaitkan secara sementara kepada Gelsemium, pakar mencadangkan ia juga mungkin dikongsi merentas berbilang kumpulan penggodaman yang sejajar dengan China.
Pintu belakang ini direka bentuk untuk menjalankan pengintipan siber dengan menuai data sensitif, termasuk butiran sistem, bukti kelayakan dan fail. Mereka juga mengekalkan akses jangka panjang kepada sistem yang disasarkan, membolehkan operasi tersembunyi dan pengumpulan risikan yang berpanjangan.
Akses Permulaan yang Tidak Pasti dan Teknik Canggih
Kaedah khusus yang digunakan untuk mendapatkan akses awal masih tidak jelas. Walau bagaimanapun, disyaki bahawa Gelsemium mengeksploitasi kelemahan aplikasi web yang tidak ditambal untuk memasang cangkerang web, yang kemudiannya digunakan untuk menghantar pintu belakang WolfsBane melalui penitis.
WolfsBane menggunakan rootkit BEURK sumber terbuka yang diubah suai untuk menyembunyikan aktivitinya pada sistem Linux semasa melaksanakan arahan daripada pelayan jauh. Begitu juga, FireWood menggunakan modul rootkit peringkat kernel yang dipanggil usbdev.ko untuk menyembunyikan proses dan melaksanakan arahan secara senyap-senyap.
Kempen Hasad Linux Pertama oleh Gelsemium
Penggunaan WolfsBane dan FireWood mewakili penggunaan perisian hasad berasaskan Linux yang pertama didokumentasikan oleh Gelsemium, menandakan peralihan dalam fokus penyasaran mereka. Perkembangan ini menyerlahkan kebolehsuaian dan minat kumpulan dalam mengembangkan jangkauan operasinya.
Tumpuan yang Berkembang pada Sistem Linux dalam Landskap APT
Peningkatan penggunaan sistem Linux oleh pelaku ancaman seperti Gelsemium mencerminkan trend yang lebih luas dalam ekosistem APT. Memandangkan organisasi meningkatkan pertahanan mereka dengan teknologi pengesanan e-mel dan titik akhir, termasuk pelumpuhan lalai Microsoft terhadap makro VBA dan penggunaan penyelesaian pengesanan dan tindak balas (EDR) yang semakin meningkat, penyerang sedang berputar ke arah platform alternatif.
Penyasaran strategik persekitaran Linux menekankan keperluan untuk pendekatan keselamatan berbilang lapisan yang teguh yang mampu mengesan dan mengurangkan ancaman lanjutan tersebut.
