WolfsBane Backdoor
Grupul de amenințări persistente avansate (APT) aliniat la China Gelsemium a fost conectat la o nouă ușă în spate Linux numită WolfsBane. Se pare că acest instrument este utilizat în operațiuni cibernetice care vizează probabil Asia de Est și de Sud-Est, marcând o evoluție semnificativă a tacticii grupului.
Cuprins
WolfsBane: O adaptare Linux a Gelsevirinei
Se crede că WolfsBane este varianta Linux a Gelsevirine, o ușă din spate care a fost folosită pe sistemele Windows din 2014. Alături de WolfsBane, cercetătorii au identificat un alt implant nedocumentat anterior, FireWood, care este legat de o suită separată de malware numită Project Wood. Deși FireWood a fost atribuit provizoriu lui Gelsemium, experții sugerează că ar putea fi, de asemenea, împărtășit între mai multe grupuri de hacking aliniate cu China.
Aceste uși din spate sunt concepute pentru a efectua spionaj cibernetic prin colectarea de date sensibile, inclusiv detalii de sistem, acreditări și fișiere. De asemenea, mențin accesul pe termen lung la sistemele vizate, permițând operațiuni ascunse și colectarea prelungită de informații.
Acces inițial incert și tehnici sofisticate
Metoda specifică utilizată pentru a obține accesul inițial rămâne neclară. Cu toate acestea, se bănuiește că Gelsemium a exploatat o vulnerabilitate a aplicației web necorecte pentru a instala shell-uri web, care au fost apoi folosite pentru a livra ușa din spate WolfsBane printr-un dropper.
WolfsBane folosește rootkit-ul BEURK cu sursă deschisă modificat pentru a-și ascunde activitățile pe sistemele Linux în timp ce execută comenzi de pe un server la distanță. În mod similar, FireWood utilizează un modul rootkit la nivel de kernel numit usbdev.ko pentru a ascunde procesele și pentru a executa comenzi în mod ascuns.
Prima campanie de malware Linux de Gelsemium
Utilizarea WolfsBane și FireWood reprezintă prima implementare documentată de către Gelsemium a malware-ului bazat pe Linux, semnalând o schimbare în focalizarea lor de țintire. Această dezvoltare evidențiază adaptabilitatea și interesul grupului de a-și extinde aria operațională.
Accent crescând asupra sistemelor Linux în peisajul APT
Utilizarea tot mai mare a sistemelor Linux de către actori amenințări precum Gelsemium reflectă tendințe mai ample în ecosistemul APT. Pe măsură ce organizațiile își îmbunătățesc apărarea cu tehnologii de e-mail și de detectare a punctelor terminale, inclusiv dezactivarea implicită de către Microsoft a macrocomenzilor VBA și adoptarea tot mai mare a soluțiilor de detectare și răspuns la punctele finale (EDR), atacatorii se îndreaptă către platforme alternative.
Direcționarea strategică a mediilor Linux subliniază necesitatea unor abordări de securitate robuste, pe mai multe straturi, capabile să detecteze și să atenueze astfel de amenințări avansate.
