WolfsBane 後門

與中國結盟的高級持續威脅 (APT) 組織 Gelsemium 與一個名為 WolfsBane 的新 Linux 後門有關。據報道，該工具正在用於可能針對東亞和東南亞的網路行動，這標誌著該組織戰術的重大演變。

WolfsBane：Gelsevirine 的 Linux 版本

WolfsBane 被認為是Gelsevirine 的Linux 變體，Gelsevirine 是一種自2014 年以來一直在Windows 系統上使用的後門。為Project Wood 的獨立惡意軟體套件相關。儘管 FireWood 暫時被歸咎於 Gelsemium，但專家表示，它也可能被與中國結盟的多個駭客組織共享。

這些後門旨在透過收集敏感資料（包括系統詳細資訊、憑證和檔案）來進行網路間諜活動。他們還保持對目標系統的長期訪問，從而實現秘密行動和長時間的情報收集。

不確定的初始訪問和複雜的技術

用於獲得初始存取權限的具體方法仍不清楚。然而，人們懷疑 Gelsemium 利用了一個未修補的 Web 應用程式漏洞來安裝 Web shell，然後利用該漏洞透過植入程式傳遞 WolfsBane 後門。

WolfsBane 使用修改後的開源 BEURK rootkit 來隱藏其在 Linux 系統上的活動，同時從遠端伺服器執行命令。同樣，FireWood 利用名為 usbdev.ko 的核心級 Rootkit 模組來隱藏進程並秘密執行命令。

Gelsemium 發起的首次 Linux 惡意軟體活動

WolfsBane 和 FireWood 的使用代表了 Gelsemium 首次記錄的基於 Linux 的惡意軟體部署，標誌著其目標重點的轉變。這一發展凸顯了該集團的適應性和擴大其業務範圍的興趣。

APT 領域越來越關注 Linux 系統

Gelsemium 等威脅行為者越來越多地使用 Linux 系統，反映了 APT 生態系統的更廣泛趨勢。隨著組織透過電子郵件和端點偵測技術（包括 Microsoft 預設禁用 VBA 巨集以及端點偵測和回應 (EDR) 解決方案的日益採用）增強防禦，攻擊者正在轉向替代平台。

Linux 環境的策略目標強調了對能夠偵測和減輕此類高階威脅的強大、多層安全方法的需求。