WolfsBane Backdoor
O grupo Gelsemium, Advanced Persistent Threat (APT) alinhado à China, foi vinculado a um novo backdoor Linux chamado WolfsBane. Esta ferramenta está sendo usada em operações cibernéticas provavelmente voltadas para o Leste e Sudeste Asiático, marcando uma evolução significativa nas táticas do grupo.
Índice
WolfsBane: Uma Adaptação Linux do Gelsevirine
Acredita-se que o WolfsBane seja a variante Linux do Gelsevirine, um backdoor que tem sido empregado em sistemas Windows desde 2014. Junto com o WolfsBane, pesquisadores identificaram outro implante não documentado anteriormente, o FireWood, que está vinculado a um conjunto de malware separado chamado Project Wood. Embora o FireWood tenha sido provisoriamente atribuído ao Gelsemium, especialistas sugerem que ele também pode ser compartilhado entre vários grupos de hackers alinhados com a China.
Esses backdoors são projetados para realizar espionagem cibernética coletando dados sensíveis, incluindo detalhes do sistema, credenciais e arquivos. Eles também mantêm acesso de longo prazo aos sistemas alvos, permitindo operações furtivas e coleta prolongada de inteligência.
Acesso Inicial Incerto e Técnicas Sofisticadas
O método específico usado para obter acesso inicial permanece obscuro. No entanto, suspeita-se que o Gelsemium explorou uma vulnerabilidade de aplicativo web não corrigida para instalar shells web, que foram então usados para entregar o backdoor WolfsBane por meio de um dropper.
WolfsBane emprega o rootkit BEURK de código aberto modificado para ocultar suas atividades em sistemas Linux enquanto executa comandos de um servidor remoto. Similarmente, FireWood utiliza um módulo rootkit de nível de kernel chamado usbdev.ko para ocultar processos e executar comandos furtivamente.
Primeira Campanha de Malware Linux da Gelsemium
O uso do WolfsBane e do FireWood representa a primeira implantação documentada do Gelsemium de malware baseado em Linux, sinalizando uma mudança em seu foco de segmentação. Este desenvolvimento destaca a adaptabilidade e o interesse do grupo em expandir seu alcance operacional.
Foco Crescente em Sistemas Linux no Cenário dos APTs
O uso crescente de sistemas Linux por agentes de ameaças como Gelsemium reflete tendências mais amplas no ecossistema APT. À medida que as organizações aprimoram suas defesas com tecnologias de detecção de e-mail e endpoint, incluindo a desabilitação padrão da Microsoft de macros VBA e a crescente adoção de soluções de detecção e resposta de endpoint (EDR), os invasores estão se voltando para plataformas alternativas.
O direcionamento estratégico de ambientes Linux ressalta a necessidade de abordagens de segurança robustas e multicamadas, capazes de detectar e mitigar essas ameaças avançadas.
