WolfsBane Backdoor
Ang pangkat na Gelsemium na Advanced Persistent Threat (APT) na nakahanay sa China ay na-link sa isang bagong backdoor ng Linux na tinatawag na WolfsBane. Ang tool na ito ay iniulat na ginagamit sa mga cyber operation na malamang na naglalayong sa Silangan at Timog-silangang Asya, na nagmamarka ng isang makabuluhang ebolusyon sa mga taktika ng grupo.
Talaan ng mga Nilalaman
WolfsBane: Isang Linux Adaptation ng Gelsevirine
Ang WolfsBane ay pinaniniwalaan na ang Linux variant ng Gelsevirine, isang backdoor na ginagamit sa mga Windows system mula noong 2014. Sa tabi ng WolfsBane, natukoy ng mga mananaliksik ang isa pang dati nang hindi dokumentado na implant, FireWood, na nakatali sa isang hiwalay na malware suite na pinangalanang Project Wood. Bagama't pansamantalang iniugnay ang FireWood sa Gelsemium, iminumungkahi ng mga eksperto na maaari rin itong ibahagi sa maraming grupo ng pag-hack na nakahanay sa China.
Ang mga backdoor na ito ay idinisenyo upang magsagawa ng cyber espionage sa pamamagitan ng pag-aani ng sensitibong data, kabilang ang mga detalye ng system, mga kredensyal, at mga file. Pinapanatili din nila ang pangmatagalang pag-access sa mga naka-target na system, na nagpapagana ng mga palihim na operasyon at matagal na koleksyon ng intelligence.
Hindi Siguradong Paunang Pag-access at Mga Sopistikadong Teknik
Ang partikular na paraan na ginamit upang makakuha ng paunang pag-access ay nananatiling hindi malinaw. Gayunpaman, pinaghihinalaang sinamantala ng Gelsemium ang isang hindi na-patch na kahinaan sa web application para mag-install ng mga web shell, na ginamit noon para ihatid ang WolfsBane backdoor sa pamamagitan ng dropper.
Ginagamit ng WolfsBane ang binagong open-source na BEURK rootkit upang itago ang mga aktibidad nito sa mga Linux system habang nagsasagawa ng mga utos mula sa isang malayong server. Katulad nito, ang FireWood ay gumagamit ng isang kernel-level rootkit module na tinatawag na usbdev.ko upang itago ang mga proseso at isagawa ang mga command nang palihim.
Unang Linux Malware Campaign ng Gelsemium
Ang paggamit ng WolfsBane at FireWood ay kumakatawan sa unang dokumentadong deployment ng Gelsemium ng malware na nakabatay sa Linux, na nagpapahiwatig ng pagbabago sa kanilang pagtutok sa pag-target. Itinatampok ng pag-unlad na ito ang kakayahang umangkop at interes ng grupo sa pagpapalawak ng abot ng pagpapatakbo nito.
Lumalagong Focus sa Linux Systems sa APT Landscape
Ang pagtaas ng paggamit ng mga sistema ng Linux ng mga aktor ng pagbabanta tulad ng Gelsemium ay nagpapakita ng mas malawak na mga uso sa APT ecosystem. Habang pinapahusay ng mga organisasyon ang kanilang mga depensa gamit ang mga teknolohiya sa pag-detect ng email at endpoint, kabilang ang default na hindi pagpapagana ng Microsoft sa mga VBA macro at ang tumataas na paggamit ng mga solusyon sa endpoint detection and response (EDR), ang mga umaatake ay umiikot patungo sa mga alternatibong platform.
Ang estratehikong pag-target sa mga kapaligiran ng Linux ay binibigyang-diin ang pangangailangan para sa matatag, multi-layered na pamamaraang panseguridad na may kakayahang tumukoy at mabawasan ang mga ganoong advanced na banta.
