WolfsBane 后门

与中国结盟的高级持续性威胁 (APT) 组织 Gelsemium 被发现与一款名为 WolfsBane 的新 Linux 后门有关。据报道，该工具被用于可能针对东亚和东南亚的网络行动，标志着该组织战术的重大演变。

WolfsBane：Gelsevirine 的 Linux 改编版

WolfsBane 被认为是 Gelsevirine 的 Linux 变体，Gelsevirine 是自 2014 年以来在 Windows 系统上使用的后门。除了 WolfsBane，研究人员还发现了另一种之前未记录的植入物 FireWood，它与名为 Project Wood 的单独恶意软件套件有关。尽管 FireWood 暂时归因于 Gelsemium，但专家表示，它可能也在与中国结盟的多个黑客组织中共享。

这些后门旨在通过收集敏感数据（包括系统详细信息、凭据和文件）来进行网络间谍活动。它们还可以长期访问目标系统，从而实现隐秘操作和长期情报收集。

不确定的初始访问和复杂的技术

获得初始访问权限的具体方法尚不清楚。不过，人们怀疑 Gelsemium 利用了未修补的 Web 应用程序漏洞来安装 Web Shell，然后通过 dropper 来传播 WolfsBane 后门。

WolfsBane 使用经过修改的开源 BEURK rootkit 来隐藏其在 Linux 系统上的活动，同时从远程服务器执行命令。同样，FireWood 使用名为 usbdev.ko 的内核级 rootkit 模块来隐藏进程并秘密执行命令。

Gelsemium 发起的首个 Linux 恶意软件活动

WolfsBane 和 FireWood 的使用是 Gelsemium 首次有记录地部署基于 Linux 的恶意软件，标志着其目标重点发生了转变。这一发展凸显了该组织的适应能力和扩大其行动范围的兴趣。

APT 领域对 Linux 系统的关注度不断提高

Gelsemium 等威胁行为者越来越多地使用 Linux 系统，这反映了 APT 生态系统的广泛趋势。随着组织通过电子邮件和端点检测技术增强防御能力，包括 Microsoft 默认禁用 VBA 宏以及端点检测和响应 (EDR) 解决方案的日益普及，攻击者正在转向替代平台。

Linux 环境的战略目标强调了需要能够检测和缓解此类高级威胁的强大、多层次的安全方法。