WolfsBane Bakdörr
Den Kina-anpassade Advanced Persistent Threat (APT)-gruppen Gelsemium har kopplats till en ny Linux-bakdörr som heter WolfsBane. Det här verktyget används enligt uppgift i cyberoperationer troligen riktade mot Öst- och Sydostasien, vilket markerar en betydande utveckling i gruppens taktik.
Innehållsförteckning
WolfsBane: En Linux-anpassning av Gelsevirine
WolfsBane tros vara Linux-varianten av Gelsevirine, en bakdörr som har använts på Windows-system sedan 2014. Vid sidan av WolfsBane har forskare identifierat ett annat tidigare odokumenterat implantat, FireWood, som är knutet till en separat malware-svit som heter Project Wood. Även om FireWood preliminärt har tillskrivits Gelsemium, föreslår experter att det också kan delas mellan flera hackningsgrupper i linje med Kina.
Dessa bakdörrar är designade för att utföra cyberspionage genom att samla in känslig data, inklusive systemdetaljer, referenser och filer. De upprätthåller också långsiktig tillgång till riktade system, vilket möjliggör smygoperationer och långvarig underrättelseinsamling.
Osäker initial åtkomst och sofistikerade tekniker
Den specifika metod som används för att få första åtkomst är fortfarande oklart. Det är dock misstänkt att Gelsemium utnyttjade en oparpad webbapplikationssårbarhet för att installera webbskal, som sedan användes för att leverera WolfsBane-bakdörren via en dropper.
WolfsBane använder det modifierade BEURK rootkit med öppen källkod för att dölja dess aktiviteter på Linux-system samtidigt som kommandon körs från en fjärrserver. På liknande sätt använder FireWood en rootkit-modul på kärnnivå som heter usbdev.ko för att dölja processer och utföra kommandon smygande.
Första Linux Malware-kampanj av Gelsemium
Användningen av WolfsBane och FireWood representerar Gelsemiums första dokumenterade distribution av Linux-baserad skadlig programvara, vilket signalerar en förändring i deras inriktningsfokus. Denna utveckling belyser koncernens anpassningsförmåga och intresse av att utöka sin operativa räckvidd.
Växande fokus på Linux-system i APT-landskapet
Den ökande användningen av Linux-system av hotaktörer som Gelsemium speglar bredare trender i APT-ekosystemet. I takt med att organisationer förbättrar sitt försvar med e-post- och slutpunktsdetekteringstekniker, inklusive Microsofts standardinaktivering av VBA-makron och det ökande antagandet av endpoint detection and response (EDR)-lösningar, svänger angripare mot alternativa plattformar.
Den strategiska inriktningen av Linux-miljöer understryker behovet av robusta säkerhetsmetoder i flera lager som kan upptäcka och mildra sådana avancerade hot.
