Бэкдор WolfsBane
Связанная с Китаем группа Advanced Persistent Threat (APT) Gelsemium была связана с новым бэкдором Linux под названием WolfsBane. Сообщается, что этот инструмент используется в кибероперациях, вероятно, направленных на Восточную и Юго-Восточную Азию, что свидетельствует о значительной эволюции тактики группы.
Оглавление
WolfsBane: адаптация гельзевирина для Linux
WolfsBane, как полагают, является Linux-вариантом Gelsevirine, бэкдора, который используется в системах Windows с 2014 года. Наряду с WolfsBane исследователи обнаружили еще один ранее недокументированный имплант, FireWood, который связан с отдельным вредоносным пакетом под названием Project Wood. Хотя FireWood предварительно приписывают Gelsemium, эксперты предполагают, что он также может быть распространен среди нескольких хакерских групп, связанных с Китаем.
Эти бэкдоры предназначены для осуществления кибершпионажа путем сбора конфиденциальных данных, включая системные данные, учетные данные и файлы. Они также поддерживают долгосрочный доступ к целевым системам, позволяя проводить скрытные операции и длительный сбор разведданных.
Неопределенный начальный доступ и сложные методы
Конкретный метод, использованный для получения первоначального доступа, остается неясным. Однако есть подозрение, что Gelsemium использовал неисправленную уязвимость веб-приложения для установки веб-оболочек, которые затем использовались для доставки бэкдора WolfsBane через дроппер.
WolfsBane использует модифицированный руткит BEURK с открытым исходным кодом для сокрытия своей деятельности в системах Linux при выполнении команд с удаленного сервера. Аналогично, FireWood использует модуль руткита на уровне ядра, называемый usbdev.ko, для сокрытия процессов и скрытного выполнения команд.
Первая вредоносная кампания Linux от Gelsemium
Использование WolfsBane и FireWood представляет собой первое задокументированное развертывание вредоносного ПО на базе Linux компанией Gelsemium, что свидетельствует об изменении фокуса их таргетинга. Это развитие подчеркивает адаптивность группы и ее интерес к расширению своего оперативного охвата.
Растущее внимание к системам Linux в ландшафте APT
Растущее использование систем Linux такими злоумышленниками, как Gelsemium, отражает более широкие тенденции в экосистеме APT. Поскольку организации усиливают свою защиту с помощью технологий обнаружения электронной почты и конечных точек, включая отключение макросов VBA по умолчанию от Microsoft и растущее принятие решений обнаружения и реагирования на конечные точки (EDR), злоумышленники переходят на альтернативные платформы.
Стратегическое нацеливание на среды Linux подчеркивает необходимость надежных многоуровневых подходов к обеспечению безопасности, способных обнаруживать и нейтрализовывать такие сложные угрозы.
