WolfsBane bakdør
Den Kina-justerte Advanced Persistent Threat (APT)-gruppen Gelsemium har blitt koblet til en ny Linux-bakdør kalt WolfsBane. Dette verktøyet blir angivelig brukt i cyberoperasjoner sannsynligvis rettet mot Øst- og Sørøst-Asia, og markerer en betydelig utvikling i gruppens taktikk.
Innholdsfortegnelse
WolfsBane: En Linux-tilpasning av Gelsevirine
WolfsBane antas å være Linux-varianten av Gelsevirine, en bakdør som har vært brukt på Windows-systemer siden 2014. Ved siden av WolfsBane har forskere identifisert et annet tidligere udokumentert implantat, FireWood, som er knyttet til en egen malware-pakke kalt Project Wood. Selv om FireWood foreløpig har blitt tilskrevet Gelsemium, foreslår eksperter at det også kan deles på tvers av flere hackergrupper på linje med Kina.
Disse bakdørene er designet for å utføre cyberspionasje ved å samle inn sensitive data, inkludert systemdetaljer, legitimasjon og filer. De opprettholder også langsiktig tilgang til målrettede systemer, noe som muliggjør snikende operasjoner og langvarig etterretningsinnhenting.
Usikker innledende tilgang og sofistikerte teknikker
Den spesifikke metoden som brukes for å få innledende tilgang er fortsatt uklar. Det er imidlertid mistanke om at Gelsemium utnyttet en uoppdatert nettapplikasjonssårbarhet for å installere web-skall, som deretter ble brukt til å levere WolfsBane-bakdøren via en dropper.
WolfsBane bruker den modifiserte åpen kildekode BEURK rootkit for å skjule sine aktiviteter på Linux-systemer mens de utfører kommandoer fra en ekstern server. Tilsvarende bruker FireWood en rootkit-modul på kjernenivå kalt usbdev.ko for å skjule prosesser og utføre kommandoer snikende.
Første Linux Malware-kampanje av Gelsemium
Bruken av WolfsBane og FireWood representerer Gelsemiums første dokumenterte distribusjon av Linux-basert skadelig programvare, og signaliserer et skifte i deres målrettingsfokus. Denne utviklingen synliggjør konsernets tilpasningsevne og interesse for å utvide sin operasjonelle rekkevidde.
Økende fokus på Linux-systemer i APT-landskapet
Den økende bruken av Linux-systemer av trusselaktører som Gelsemium reflekterer bredere trender i APT-økosystemet. Etter hvert som organisasjoner forbedrer forsvaret sitt med e-post- og endepunktdeteksjonsteknologier, inkludert Microsofts standarddeaktivering av VBA-makroer og den økende bruken av endepunktdeteksjons- og svarløsninger (EDR), pivoterer angripere mot alternative plattformer.
Den strategiske målrettingen av Linux-miljøer understreker behovet for robuste, flerlags sikkerhetstilnærminger som er i stand til å oppdage og dempe slike avanserte trusler.
