WolfsBane Backdoor
Kitajska skupina Advanced Persistent Threat (APT) Gelsemium je bila povezana z novim backdoorjem Linuxa, imenovanim WolfsBane. To orodje naj bi se uporabljalo v kibernetskih operacijah, ki so verjetno usmerjene v vzhodno in jugovzhodno Azijo, kar pomeni pomemben razvoj v taktikah skupine.
Kazalo
WolfsBane: prilagoditev Gelsevirina za Linux
WolfsBane naj bi bil Linuxova različica Gelsevirina, stranskih vrat, ki se v sistemih Windows uporablja od leta 2014. Poleg WolfsBane so raziskovalci identificirali še en prej nedokumentiran vsadek, FireWood, ki je povezan z ločeno zbirko zlonamerne programske opreme, imenovano Project Wood. Čeprav je bil FireWood pogojno pripisan Gelsemiumu, strokovnjaki menijo, da bi ga lahko delilo tudi več hekerskih skupin, povezanih s Kitajsko.
Ta stranska vrata so zasnovana za kibernetsko vohunjenje z zbiranjem občutljivih podatkov, vključno s sistemskimi podrobnostmi, poverilnicami in datotekami. Ohranjajo tudi dolgoročni dostop do ciljnih sistemov, kar omogoča prikrito delovanje in dolgotrajno zbiranje obveščevalnih podatkov.
Negotov začetni dostop in sofisticirane tehnike
Posebna metoda, uporabljena za pridobitev začetnega dostopa, ostaja nejasna. Vendar obstaja sum, da je Gelsemium izkoristil nepopravljeno ranljivost spletne aplikacije za namestitev spletnih lupin, ki so bile nato uporabljene za dostavo stranskih vrat WolfsBane prek kapalke.
WolfsBane uporablja spremenjen odprtokodni rootkit BEURK, da skrije svoje dejavnosti v sistemih Linux med izvajanjem ukazov z oddaljenega strežnika. Podobno FireWood uporablja modul rootkit na ravni jedra, imenovan usbdev.ko, za prikrivanje procesov in prikrito izvajanje ukazov.
Prva kampanja zlonamerne programske opreme Linux, ki jo je izvedel Gelsemium
Uporaba WolfsBane in FireWood predstavlja Gelsemiumovo prvo dokumentirano uporabo zlonamerne programske opreme, ki temelji na Linuxu, kar nakazuje premik v njihovem ciljnem fokusu. Ta razvoj poudarja prilagodljivost skupine in zanimanje za razširitev njenega operativnega dosega.
Vse večji poudarek na sistemih Linux v pokrajini APT
Vse večja uporaba sistemov Linux s strani akterjev groženj, kot je Gelsemium, odraža širše trende v ekosistemu APT. Medtem ko organizacije izboljšujejo svojo obrambo s tehnologijami za zaznavanje e-pošte in končnih točk, vključno z Microsoftovim privzetim onemogočanjem makrov VBA in naraščajočim sprejemanjem rešitev za zaznavanje in odziv končnih točk (EDR), se napadalci usmerjajo k alternativnim platformam.
Strateško ciljanje okolij Linux poudarja potrebo po robustnih, večplastnih varnostnih pristopih, ki so sposobni zaznati in ublažiti takšne napredne grožnje.
