WolfsBane Backdoor
Група Гелсемиум за напредне трајне претње (АПТ) која је усклађена са Кином повезана је са новим бацкдоором Линука под називом ВолфсБане. Овај алат се наводно користи у сајбер операцијама које су вероватно усмерене на источну и југоисточну Азију, означавајући значајну еволуцију у тактици групе.
Преглед садржаја
ВолфсБане: Линук адаптација Гелсевирина
Верује се да је ВолфсБане Линук варијанта Гелсевирине-а, бацкдоор-а који се користи на Виндовс системима од 2014. Поред ВолфсБане-а, истраживачи су идентификовали још један претходно недокументован имплант, ФиреВоод, који је везан за посебан пакет малвера под називом Пројецт Воод. Иако се ФиреВоод пробно приписује Гелсемиуму, стручњаци сугеришу да би могао да се дели и на више група за хакере које су повезане са Кином.
Ова позадинска врата су дизајнирана да врше сајбер шпијунажу прикупљањем осетљивих података, укључујући системске детаље, акредитиве и датотеке. Они такође одржавају дугорочни приступ циљаним системима, омогућавајући прикривене операције и продужено прикупљање обавештајних података.
Несигуран почетни приступ и софистициране технике
Конкретан метод који се користи за добијање почетног приступа остаје нејасан. Међутим, сумња се да је Гелсемиум искористио незакрпљену рањивост веб апликације за инсталирање веб шкољки, које су затим коришћене за испоруку ВолфсБане бацкдоор-а преко дроппера.
ВолфсБане користи модификовани опен-соурце БЕУРК рооткит да сакрије своје активности на Линук системима док извршава команде са удаљеног сервера. Слично томе, ФиреВоод користи рооткит модул на нивоу кернела који се зове усбдев.ко да сакрије процесе и тајно извршава команде.
Прва Гелсемиум кампања за Линук малвер
Употреба ВолфсБане-а и ФиреВоод-а представља Гелсемиум-ову прву документовану примену злонамерног софтвера заснованог на Линук-у, сигнализирајући промену у њиховом фокусу на циљање. Овакав развој догађаја наглашава прилагодљивост групе и интересовање за проширење свог оперативног домета.
Све већи фокус на Линук системе у АПТ пејзажу
Све већа употреба Линук система од стране актера претњи као што је Гелсемиум одражава шире трендове у АПТ екосистему. Како организације побољшавају своју одбрану помоћу технологија за откривање е-поште и крајњих тачака, укључујући Мицрософтово подразумевано онемогућавање ВБА макроа и све веће усвајање решења за откривање и одговор крајњих тачака (ЕДР), нападачи се окрећу ка алтернативним платформама.
Стратешко циљање Линук окружења наглашава потребу за робусним, вишеслојним безбедносним приступима који могу да открију и ублаже такве напредне претње.
