WolfsBane Backdoor
Skupina Gelsemium s názvom Advanced Persistent Threat (APT) spojená s Čínou bola prepojená s novým linuxovým backdoorom s názvom WolfsBane. Tento nástroj sa údajne používa v kybernetických operáciách pravdepodobne zameraných na východnú a juhovýchodnú Áziu, čo znamená významný vývoj v taktike skupiny.
Obsah
WolfsBane: Linuxová adaptácia Gelsevirinu
WolfsBane je považovaný za linuxový variant Gelsevirine, zadné vrátka, ktoré sa používajú na systémoch Windows od roku 2014. Vedľa WolfsBane výskumníci identifikovali ďalší predtým nezdokumentovaný implantát, FireWood, ktorý je spojený so samostatnou súpravou škodlivého softvéru s názvom Project Wood. Hoci FireWood bol predbežne pripísaný Gelsemium, odborníci naznačujú, že by sa mohol zdieľať aj medzi viacerými hackerskými skupinami spojenými s Čínou.
Tieto zadné vrátka sú navrhnuté tak, aby vykonávali kybernetickú špionáž získavaním citlivých údajov vrátane systémových detailov, poverení a súborov. Udržiavajú si tiež dlhodobý prístup k cieleným systémom, čo umožňuje tajné operácie a dlhodobé zhromažďovanie informácií.
Neistý počiatočný prístup a sofistikované techniky
Špecifická metóda použitá na získanie počiatočného prístupu zostáva nejasná. Existuje však podozrenie, že Gelsemium zneužil neopravenú zraniteľnosť webovej aplikácie na inštaláciu webových shellov, ktoré sa potom použili na doručenie zadného vrátka WolfsBane pomocou kvapkadla.
WolfsBane využíva upravený open-source BEURK rootkit na skrytie svojich aktivít v systémoch Linux pri vykonávaní príkazov zo vzdialeného servera. Podobne FireWood využíva modul rootkitu na úrovni jadra s názvom usbdev.ko na utajenie procesov a vykonávanie príkazov.
Prvá kampaň proti škodlivému softvéru pre Linux od Gelsemium
Použitie WolfsBane a FireWood predstavuje prvé zdokumentované nasadenie malvéru založeného na Linuxe od Gelsemium, čo signalizuje posun v ich zameraní. Tento vývoj podčiarkuje prispôsobivosť skupiny a záujem o rozšírenie jej prevádzkového dosahu.
Rastúce zameranie na systémy Linux v prostredí APT
Rastúce používanie systémov Linux aktérmi hrozieb, ako je Gelsemium, odráža širšie trendy v ekosystéme APT. Keďže organizácie vylepšujú svoju obranu pomocou technológií detekcie e-mailov a koncových bodov, vrátane predvoleného vypnutia makier VBA od spoločnosti Microsoft a rastúceho zavádzania riešení detekcie a odozvy koncových bodov (EDR), útočníci sa orientujú na alternatívne platformy.
Strategické zacielenie na prostredia Linux podčiarkuje potrebu robustných, viacvrstvových bezpečnostných prístupov schopných odhaliť a zmierniť takéto pokročilé hrozby.
