Cửa sau của WolfsBane
Nhóm Advanced Persistent Threat (APT) Gelsemium liên kết với Trung Quốc đã được liên kết với một backdoor Linux mới có tên là WolfsBane. Công cụ này được cho là đang được sử dụng trong các hoạt động mạng có khả năng nhắm vào Đông Á và Đông Nam Á, đánh dấu sự phát triển đáng kể trong chiến thuật của nhóm.
Mục lục
WolfsBane: Một phiên bản chuyển thể của Gelsevirine trên Linux
WolfsBane được cho là biến thể Linux của Gelsevirine, một backdoor đã được sử dụng trên các hệ thống Windows từ năm 2014. Cùng với WolfsBane, các nhà nghiên cứu đã xác định được một loại cấy ghép khác chưa được ghi chép trước đó, FireWood, có liên quan đến một bộ phần mềm độc hại riêng biệt có tên là Project Wood. Mặc dù FireWood đã được tạm thời quy cho Gelsemium, các chuyên gia cho rằng nó cũng có thể được chia sẻ giữa nhiều nhóm tin tặc có liên kết với Trung Quốc.
Các cửa hậu này được thiết kế để thực hiện hoạt động gián điệp mạng bằng cách thu thập dữ liệu nhạy cảm, bao gồm thông tin chi tiết về hệ thống, thông tin đăng nhập và tệp. Chúng cũng duy trì quyền truy cập lâu dài vào các hệ thống mục tiêu, cho phép các hoạt động bí mật và thu thập thông tin tình báo kéo dài.
Truy cập ban đầu không chắc chắn và các kỹ thuật tinh vi
Phương pháp cụ thể được sử dụng để có được quyền truy cập ban đầu vẫn chưa rõ ràng. Tuy nhiên, người ta nghi ngờ rằng Gelsemium đã khai thác lỗ hổng ứng dụng web chưa được vá để cài đặt web shell, sau đó được sử dụng để phân phối backdoor WolfsBane thông qua dropper.
WolfsBane sử dụng rootkit BEURK mã nguồn mở đã sửa đổi để ẩn các hoạt động của nó trên hệ thống Linux trong khi thực hiện lệnh từ máy chủ từ xa. Tương tự, FireWood sử dụng mô-đun rootkit cấp hạt nhân có tên là usbdev.ko để ẩn các quy trình và thực hiện lệnh một cách lén lút.
Chiến dịch phần mềm độc hại Linux đầu tiên của Gelsemium
Việc sử dụng WolfsBane và FireWood đại diện cho lần triển khai phần mềm độc hại dựa trên Linux đầu tiên được ghi nhận của Gelsemium, báo hiệu sự thay đổi trong trọng tâm nhắm mục tiêu của họ. Sự phát triển này làm nổi bật khả năng thích ứng và sự quan tâm của nhóm trong việc mở rộng phạm vi hoạt động của mình.
Tập trung ngày càng tăng vào các hệ thống Linux trong bối cảnh APT
Việc các tác nhân đe dọa như Gelsemium ngày càng sử dụng nhiều hệ thống Linux phản ánh xu hướng rộng hơn trong hệ sinh thái APT. Khi các tổ chức tăng cường khả năng phòng thủ của mình bằng các công nghệ phát hiện email và điểm cuối, bao gồm việc Microsoft mặc định vô hiệu hóa macro VBA và việc áp dụng ngày càng tăng các giải pháp phát hiện và phản hồi điểm cuối (EDR), những kẻ tấn công đang chuyển hướng sang các nền tảng thay thế.
Việc nhắm mục tiêu chiến lược vào môi trường Linux nhấn mạnh nhu cầu về các giải pháp bảo mật mạnh mẽ, nhiều lớp có khả năng phát hiện và giảm thiểu các mối đe dọa tiên tiến như vậy.
