Čínská pokročilá perzistentní hrozba (APT) známá jako Gelsemium byla pozorována při využívání nového Linuxového backdooru nazvaného WolfsBane v rámci kybernetických útoků, které pravděpodobně cílí na východní a jihovýchodní Asii.
To vyplývá z poznatků kyberbezpečnostní společnosti ESET, která analyzovala několik Linuxových vzorků nahraných na platformu VirusTotal z Tchaj-wanu, Filipín a Singapuru v březnu 2023.
WolfsBane byl vyhodnocen jako Linuxová verze backdooru Gelsevirine, což je malware pro Windows, který byl používán již od roku 2014. Společnost také objevila další dosud nezdokumentovaný implantát nazvaný FireWood, který je spojen s jinou sadou nástrojů malwaru známou jako Project Wood.
„Cílem objevených backdoorů a nástrojů je kybernetická špionáž zaměřená na citlivá data, jako jsou informace o systému, uživatelské přihlašovací údaje a specifické soubory a adresáře,“ uvedl bezpečnostní expert společnosti ESET Viktor Šperka. „Tyto nástroje jsou navrženy tak, aby udržovaly trvalý přístup a prováděly příkazy skrytě, což umožňuje dlouhodobé shromažďování informací při vyhýbání se detekci.“
Přesná cesta počátečního přístupu, kterou hackeři použili, není známa, i když se předpokládá, že zneužili neznámou zranitelnost webové aplikace k nasazení webových shellů pro trvalý vzdálený přístup, přičemž je využili k doručení backdooru WolfsBane prostřednictvím dropperu.
Kromě použití upraveného open-source rootkitu BEURK pro skrytí svých aktivit je WolfsBane schopen provádět příkazy přijaté ze serveru ovládaného útočníkem. Podobně FireWood využívá modul rootkitu jádra nazvaný usbdev.ko k ukrytí procesů a provádění různých příkazů vydaných serverem.
Použití WolfsBane a FireWood představuje první zdokumentované použití Linuxového malwaru skupinou Gelsemium, což signalizuje rozšíření zaměření jejich útoků.
„Trend přesunu malwaru směrem k Linuxovým systémům se zdá být na vzestupu v ekosystému APT,“ uvedl Šperka. „Z našeho pohledu lze tento vývoj přičíst několika pokrokům v oblasti e-mailové a koncové bezpečnosti.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
