WolfsBane Arka Kapısı
Çin yanlısı Gelişmiş Kalıcı Tehdit (APT) grubu Gelsemium, WolfsBane adlı yeni bir Linux arka kapısıyla ilişkilendirildi. Bu aracın, muhtemelen Doğu ve Güneydoğu Asya'yı hedef alan siber operasyonlarda kullanıldığı bildiriliyor ve grubun taktiklerinde önemli bir evrimi işaret ediyor.
İçindekiler
WolfsBane: Gelsevirine’in Linux’a Uyarlanması
WolfsBane'in, 2014'ten beri Windows sistemlerinde kullanılan bir arka kapı olan Gelsevirine'in Linux versiyonu olduğuna inanılıyor. WolfsBane'in yanı sıra araştırmacılar, Project Wood adlı ayrı bir kötü amaçlı yazılım paketine bağlı olan ve daha önce belgelenmemiş başka bir implant olan FireWood'u tespit ettiler. FireWood, geçici olarak Gelsemium'a atfedilse de uzmanlar, Çin ile bağlantılı birden fazla bilgisayar korsanı grubu arasında da paylaşılmış olabileceğini öne sürüyor.
Bu arka kapılar, sistem ayrıntıları, kimlik bilgileri ve dosyalar dahil olmak üzere hassas verileri toplayarak siber casusluk yapmak üzere tasarlanmıştır. Ayrıca hedeflenen sistemlere uzun vadeli erişim sağlayarak gizli operasyonlar ve uzun süreli istihbarat toplama olanağı sağlarlar.
Belirsiz İlk Erişim ve Karmaşık Teknikler
İlk erişimi elde etmek için kullanılan belirli yöntem henüz belirsizliğini koruyor. Ancak, Gelsemium'un web kabuklarını yüklemek için yamalanmamış bir web uygulaması güvenlik açığını kullandığından şüpheleniliyor, bu kabuklar daha sonra bir dropper aracılığıyla WolfsBane arka kapısını iletmek için kullanılıyordu.
WolfsBane, uzak bir sunucudan komutları yürütürken Linux sistemlerindeki etkinliklerini gizlemek için değiştirilmiş açık kaynaklı BEURK rootkit'ini kullanır. Benzer şekilde, FireWood, süreçleri gizlemek ve komutları gizlice yürütmek için usbdev.ko adlı çekirdek düzeyinde bir rootkit modülü kullanır.
Gelsemium’un İlk Linux Kötü Amaçlı Yazılım Saldırısı
WolfsBane ve FireWood'un kullanımı, Gelsemium'un Linux tabanlı kötü amaçlı yazılımların ilk belgelenmiş dağıtımını temsil ediyor ve hedefleme odaklarında bir değişime işaret ediyor. Bu gelişme, grubun uyarlanabilirliğini ve operasyonel erişimini genişletme konusundaki ilgisini vurguluyor.
APT Manzarasında Linux Sistemlerine Odaklanma Artıyor
Gelsemium gibi tehdit aktörleri tarafından Linux sistemlerinin artan kullanımı, APT ekosistemindeki daha geniş eğilimleri yansıtmaktadır. Kuruluşlar, Microsoft'un VBA makrolarını varsayılan olarak devre dışı bırakması ve uç nokta algılama ve yanıt (EDR) çözümlerinin artan benimsenmesi dahil olmak üzere e-posta ve uç nokta algılama teknolojileriyle savunmalarını geliştirdikçe, saldırganlar alternatif platformlara yöneliyor.
Linux ortamlarının stratejik olarak hedeflenmesi, bu tür gelişmiş tehditleri tespit edip azaltabilen sağlam, çok katmanlı güvenlik yaklaşımlarına olan ihtiyacı vurgulamaktadır.