WolfsBane Achterdeur
De aan China gelieerde Advanced Persistent Threat (APT) groep Gelsemium is gelinkt aan een nieuwe Linux backdoor genaamd WolfsBane. Deze tool wordt naar verluidt gebruikt in cyberoperaties die waarschijnlijk gericht zijn op Oost- en Zuidoost-Azië, wat een significante evolutie in de tactieken van de groep markeert.
Inhoudsopgave
WolfsBane: een Linux-aanpassing van Gelsevirine
WolfsBane wordt verondersteld de Linux-variant te zijn van Gelsevirine, een backdoor die sinds 2014 op Windows-systemen wordt gebruikt. Naast WolfsBane hebben onderzoekers een ander, eerder ongedocumenteerd implantaat geïdentificeerd, FireWood, dat is gekoppeld aan een aparte malwaresuite genaamd Project Wood. Hoewel FireWood voorlopig is toegeschreven aan Gelsemium, suggereren experts dat het ook gedeeld kan worden door meerdere hackersgroepen die gelieerd zijn aan China.
Deze backdoors zijn ontworpen om cyberespionage uit te voeren door gevoelige gegevens te verzamelen, waaronder systeemdetails, inloggegevens en bestanden. Ze behouden ook langetermijntoegang tot gerichte systemen, waardoor heimelijke operaties en langdurige inlichtingenverzameling mogelijk zijn.
Onzekere initiële toegang en geavanceerde technieken
De specifieke methode die gebruikt werd om initiële toegang te verkrijgen blijft onduidelijk. Er wordt echter vermoed dat Gelsemium een ongepatchte webapplicatiekwetsbaarheid misbruikte om webshells te installeren, die vervolgens werden gebruikt om de WolfsBane-backdoor via een dropper te leveren.
WolfsBane gebruikt de aangepaste open-source BEURK rootkit om zijn activiteiten op Linux-systemen te verbergen terwijl hij opdrachten uitvoert vanaf een externe server. FireWood gebruikt op vergelijkbare wijze een rootkitmodule op kernelniveau genaamd usbdev.ko om processen te verbergen en opdrachten heimelijk uit te voeren.
Eerste Linux Malware Campagne door Gelsemium
Het gebruik van WolfsBane en FireWood vertegenwoordigt Gelsemium's eerste gedocumenteerde implementatie van Linux-gebaseerde malware, wat een verschuiving in hun targeting focus aangeeft. Deze ontwikkeling benadrukt de aanpassingsvermogen en interesse van de groep in het uitbreiden van haar operationele bereik.
Groeiende focus op Linux-systemen in het APT-landschap
Het toenemende gebruik van Linux-systemen door dreigingsactoren zoals Gelsemium weerspiegelt bredere trends in het APT-ecosysteem. Naarmate organisaties hun verdediging verbeteren met e-mail- en endpointdetectietechnologieën, waaronder Microsofts standaarduitschakeling van VBA-macro's en de toenemende acceptatie van endpointdetectie- en responsoplossingen (EDR), stappen aanvallers over op alternatieve platforms.
De strategische aanpak van Linux-omgevingen onderstreept de noodzaak van robuuste, gelaagde beveiligingsbenaderingen die dergelijke geavanceerde bedreigingen kunnen detecteren en beperken.
