Tylne drzwi WolfsBane'a
Powiązana z Chinami grupa Advanced Persistent Threat (APT) Gelsemium została powiązana z nowym backdoorem Linuksa o nazwie WolfsBane. Podobno to narzędzie jest używane w cyberoperacjach prawdopodobnie skierowanych na Azję Wschodnią i Południowo-Wschodnią, co oznacza znaczącą ewolucję w taktyce grupy.
Spis treści
WolfsBane: Linuxowa adaptacja Gelsevirine
Uważa się, że WolfsBane jest wariantem Gelsevirine dla Linuksa, backdoora, który był używany w systemach Windows od 2014 r. Oprócz WolfsBane badacze zidentyfikowali inny wcześniej nieudokumentowany implant, FireWood, który jest powiązany z oddzielnym pakietem złośliwego oprogramowania o nazwie Project Wood. Chociaż FireWood został wstępnie przypisany Gelsemium, eksperci sugerują, że może być również współdzielony przez wiele grup hakerskich powiązanych z Chinami.
Te tylne drzwi są zaprojektowane do przeprowadzania cybernetycznego szpiegostwa poprzez zbieranie poufnych danych, w tym szczegółów systemu, poświadczeń i plików. Utrzymują również długoterminowy dostęp do docelowych systemów, umożliwiając ukryte operacje i długotrwałe zbieranie informacji wywiadowczych.
Niepewny dostęp początkowy i zaawansowane techniki
Konkretna metoda użyta do uzyskania początkowego dostępu pozostaje niejasna. Podejrzewa się jednak, że Gelsemium wykorzystało niezałataną lukę w zabezpieczeniach aplikacji webowej, aby zainstalować powłoki webowe, które następnie zostały użyte do dostarczenia tylnego wejścia WolfsBane za pomocą droppera.
WolfsBane wykorzystuje zmodyfikowany rootkit BEURK typu open source, aby ukryć swoje działania w systemach Linux podczas wykonywania poleceń ze zdalnego serwera. Podobnie FireWood wykorzystuje moduł rootkit na poziomie jądra o nazwie usbdev.ko, aby ukryć procesy i wykonywać polecenia w ukryciu.
Pierwsza kampania dotycząca złośliwego oprogramowania na Linuksie firmy Gelsemium
Użycie WolfsBane i FireWood stanowi pierwsze udokumentowane wdrożenie przez Gelsemium złośliwego oprogramowania opartego na Linuksie, sygnalizując zmianę w ich ukierunkowaniu. Rozwój ten podkreśla zdolność adaptacji grupy i zainteresowanie rozszerzeniem jej zasięgu operacyjnego.
Coraz większe zainteresowanie systemami Linux w środowisku APT
Coraz częstsze używanie systemów Linux przez aktorów zagrożeń, takich jak Gelsemium, odzwierciedla szersze trendy w ekosystemie APT. W miarę jak organizacje wzmacniają swoje zabezpieczenia za pomocą technologii wykrywania poczty e-mail i punktów końcowych, w tym domyślnego wyłączania makr VBA przez Microsoft i rosnącej adopcji rozwiązań wykrywania i reagowania punktów końcowych (EDR), atakujący zwracają się w stronę alternatywnych platform.
Strategiczne wykorzystanie środowisk Linux podkreśla potrzebę stosowania solidnych, wielowarstwowych rozwiązań zabezpieczających, które pozwolą na wykrywanie i łagodzenie tak zaawansowanych zagrożeń.
