WolfsBane Backdoor
Grupi i Kërcënimit të Përparuar të Përparuar (APT) Gelsemium, i lidhur me Kinën, është lidhur me një prapavijë të re Linux të quajtur WolfsBane. Ky mjet thuhet se po përdoret në operacionet kibernetike që ka të ngjarë të synojnë Azinë Lindore dhe Juglindore, duke shënuar një evolucion të rëndësishëm në taktikat e grupit.
Tabela e Përmbajtjes
WolfsBane: Një përshtatje Linux e Gelsevirine
WolfsBane besohet të jetë varianti Linux i Gelsevirine, një derë e pasme që është përdorur në sistemet Windows që nga viti 2014. Krahas WolfsBane, studiuesit kanë identifikuar një implant tjetër të padokumentuar më parë, FireWood, i cili është i lidhur me një paketë të veçantë malware të quajtur Project Wood. Edhe pse FireWood i është atribuar paraprakisht Gelsemium, ekspertët sugjerojnë se ai mund të ndahet edhe në grupe të shumta hakerimi në linjë me Kinën.
Këto dyer të pasme janë krijuar për të kryer spiunazh kibernetik duke mbledhur të dhëna të ndjeshme, duke përfshirë detajet e sistemit, kredencialet dhe skedarët. Ata gjithashtu mbajnë akses afatgjatë në sistemet e synuara, duke mundësuar operacione të fshehta dhe mbledhje të zgjatur të inteligjencës.
Akses fillestar i pasigurt dhe teknika të sofistikuara
Metoda specifike e përdorur për të fituar akses fillestar mbetet e paqartë. Megjithatë, dyshohet se Gelsemium ka shfrytëzuar një dobësi të papatchuar të aplikacionit në ueb për të instaluar predha të uebit, të cilat më pas u përdorën për të ofruar prapambetjen e WolfsBane përmes një pikatore.
WolfsBane përdor rootkit të modifikuar me burim të hapur BEURK për të fshehur aktivitetet e tij në sistemet Linux gjatë ekzekutimit të komandave nga një server në distancë. Në mënyrë të ngjashme, FireWood përdor një modul rootkit të nivelit të kernelit të quajtur usbdev.ko për të fshehur proceset dhe për të ekzekutuar komandat në mënyrë të fshehtë.
Fushata e parë e Malware Linux nga Gelsemium
Përdorimi i WolfsBane dhe FireWood përfaqëson vendosjen e parë të dokumentuar të Gelsemium të malware të bazuar në Linux, duke sinjalizuar një ndryshim në fokusin e tyre të synimit. Ky zhvillim nxjerr në pah përshtatshmërinë dhe interesin e grupit për të zgjeruar shtrirjen e tij operacionale.
Rritja e fokusit në sistemet Linux në peizazhin APT
Përdorimi në rritje i sistemeve Linux nga aktorë kërcënimi si Gelsemium pasqyron tendenca më të gjera në ekosistemin APT. Ndërsa organizatat përmirësojnë mbrojtjen e tyre me teknologjitë e zbulimit të postës elektronike dhe të pikave fundore, duke përfshirë çaktivizimin e paracaktuar nga Microsoft të makrove VBA dhe miratimin në rritje të zgjidhjeve të zbulimit dhe përgjigjes së pikës fundore (EDR), sulmuesit po lëvizin drejt platformave alternative.
Synimi strategjik i mjediseve Linux nënvizon nevojën për qasje të fuqishme sigurie me shumë shtresa, të afta për të zbuluar dhe zbutur kërcënime të tilla të avancuara.
