WolfsBane Backdoor
Групу Gelsemium, пов’язану з Китаєм, пов’язану з бекдором Linux під назвою WolfsBane. Повідомляється, що цей інструмент використовується в кіберопераціях, імовірно спрямованих на Східну та Південно-Східну Азію, що свідчить про значну еволюцію в тактиці групи.
Зміст
WolfsBane: адаптація Gelsevirine для Linux
Вважається, що WolfsBane є Linux-варіантом Gelsevirine, бекдора, який використовується в системах Windows з 2014 року. Окрім WolfsBane, дослідники виявили ще один раніше незадокументований імплантат FireWood, який пов’язаний з окремим пакетом шкідливих програм під назвою Project Wood. Незважаючи на те, що FireWood попередньо віднесено до Gelsemium, експерти припускають, що ним також можуть користуватися кілька хакерських груп, пов’язаних із Китаєм.
Ці бекдори призначені для здійснення кібершпигунства шляхом збирання конфіденційних даних, зокрема системних деталей, облікових даних і файлів. Вони також зберігають довгостроковий доступ до цільових систем, забезпечуючи приховані операції та тривалий збір розвідувальних даних.
Невпевнений початковий доступ і складні методи
Конкретний метод, використаний для отримання початкового доступу, залишається неясним. Однак існує підозра, що Gelsemium використовував невиправлену вразливість веб-додатку для встановлення веб-оболонок, які потім використовувалися для доставки бекдора WolfsBane через дроппер.
WolfsBane використовує модифікований руткіт BEURK з відкритим кодом, щоб приховати свою діяльність у системах Linux під час виконання команд із віддаленого сервера. Так само FireWood використовує модуль руткіта на рівні ядра під назвою usbdev.ko для приховування процесів і непомітного виконання команд.
Перша кампанія Gelsemium щодо шкідливих програм для Linux
Використання WolfsBane і FireWood являє собою перше задокументоване розгортання Gelsemium шкідливого програмного забезпечення на базі Linux, що свідчить про зміну цільової спрямованості. Цей розвиток підкреслює здатність групи адаптуватися та зацікавленість у розширенні свого операційного охоплення.
Зростання уваги до систем Linux у ландшафті APT
Дедалі більше використання систем Linux такими загрозливими суб’єктами, як Gelsemium, відображає ширші тенденції в екосистемі APT. У міру того як організації посилюють свій захист за допомогою технологій електронної пошти та виявлення кінцевих точок, включаючи стандартне вимкнення макросів VBA Microsoft за замовчуванням і все більше впровадження рішень для виявлення та реагування на кінцеві точки (EDR), зловмисники повертаються до альтернативних платформ.
Стратегічне націлювання на середовища Linux підкреслює потребу в надійних, багаторівневих підходах до безпеки, здатних виявляти та пом’якшувати такі складні загрози.
