แบ็คดอร์ของ WolfsBane
กลุ่ม Advanced Persistent Threat (APT) ที่สนับสนุนจีนอย่าง Gelsemium เชื่อมโยงกับแบ็คดอร์ Linux ใหม่ที่เรียกว่า WolfsBane มีรายงานว่าเครื่องมือนี้ถูกใช้ในปฏิบัติการทางไซเบอร์ที่น่าจะมุ่งเป้าไปที่เอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ ซึ่งถือเป็นวิวัฒนาการครั้งสำคัญในกลยุทธ์ของกลุ่ม
สารบัญ
WolfsBane: การดัดแปลง Gelsevirine ของ Linux
เชื่อกันว่า WolfsBane เป็นเวอร์ชัน Linux ของ Gelsevirine ซึ่งเป็นแบ็คดอร์ที่ใช้กับระบบ Windows ตั้งแต่ปี 2014 นักวิจัยได้ระบุอิมแพลนต์ที่ยังไม่มีการบันทึกมาก่อนอีกตัวหนึ่งควบคู่ไปกับ WolfsBane ซึ่งเชื่อมโยงกับชุดมัลแวร์แยกต่างหากที่มีชื่อว่า Project Wood แม้ว่า FireWood จะถูกระบุว่าเป็นของ Gelsemium แต่ผู้เชี่ยวชาญแนะนำว่าอาจมีการแชร์กันระหว่างกลุ่มแฮ็กเกอร์หลายกลุ่มที่เชื่อมโยงกับจีนด้วย
แบ็คดอร์เหล่านี้ได้รับการออกแบบมาเพื่อดำเนินการจารกรรมทางไซเบอร์โดยการรวบรวมข้อมูลที่ละเอียดอ่อน รวมถึงรายละเอียดระบบ ข้อมูลประจำตัว และไฟล์ นอกจากนี้ แบ็คดอร์ยังรักษาการเข้าถึงระบบเป้าหมายในระยะยาว ซึ่งช่วยให้สามารถดำเนินการอย่างลับๆ และรวบรวมข้อมูลข่าวกรองได้ยาวนานขึ้น
การเข้าถึงเบื้องต้นที่ไม่แน่นอนและเทคนิคที่ซับซ้อน
วิธีการเฉพาะที่ใช้ในการเข้าถึงเบื้องต้นยังคงไม่ชัดเจน อย่างไรก็ตาม เป็นที่สงสัยว่า Gelsemium ใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันเว็บที่ไม่ได้รับการแก้ไขเพื่อติดตั้งเว็บเชลล์ ซึ่งจากนั้นจะใช้เพื่อส่งแบ็คดอร์ของ WolfsBane ผ่านดรอปเปอร์
WolfsBane ใช้รูทคิทโอเพ่นซอร์ส BEURK ที่ได้รับการดัดแปลงเพื่อซ่อนกิจกรรมต่างๆ บนระบบ Linux ขณะดำเนินการคำสั่งจากเซิร์ฟเวอร์ระยะไกล ในทำนองเดียวกัน FireWood ใช้โมดูลรูทคิทระดับเคอร์เนลที่เรียกว่า usbdev.ko เพื่อซ่อนกระบวนการและดำเนินการคำสั่งอย่างลับๆ
แคมเปญมัลแวร์ Linux ครั้งแรกโดย Gelsemium
การใช้ WolfsBane และ FireWood ถือเป็นการใช้งานมัลแวร์บนพื้นฐาน Linux ครั้งแรกของ Gelsemium ซึ่งถือเป็นสัญญาณของการเปลี่ยนแปลงในจุดเน้นการกำหนดเป้าหมาย การพัฒนานี้เน้นย้ำถึงความสามารถในการปรับตัวและความสนใจของกลุ่มในการขยายขอบเขตการปฏิบัติงาน
การเติบโตเน้นไปที่ระบบ Linux ในภูมิทัศน์ APT
การใช้ระบบ Linux ที่เพิ่มขึ้นโดยผู้ก่อภัยคุกคาม เช่น Gelsemium สะท้อนถึงแนวโน้มที่กว้างขึ้นในระบบนิเวศ APT ขณะที่องค์กรต่างๆ ปรับปรุงการป้องกันด้วยเทคโนโลยีตรวจจับอีเมลและจุดสิ้นสุด รวมถึงการปิดใช้งานมาโคร VBA ตามค่าเริ่มต้นของ Microsoft และการนำโซลูชันการตรวจจับและตอบสนองจุดสิ้นสุด (EDR) มาใช้มากขึ้น ผู้โจมตีกำลังเปลี่ยนมาใช้แพลตฟอร์มทางเลือก
การกำหนดเป้าหมายเชิงกลยุทธ์ของสภาพแวดล้อม Linux เน้นย้ำถึงความจำเป็นในการใช้วิธีการรักษาความปลอดภัยที่แข็งแกร่งและหลายชั้นซึ่งสามารถตรวจจับและลดภัยคุกคามขั้นสูงดังกล่าวได้
