Er is waargenomen dat de op China gerichte geavanceerde persistente dreiging (APT), bekend als Gelsemium, een nieuwe Linux-achterdeur genaamd WolfsBane gebruikt als onderdeel van cyberaanvallen die waarschijnlijk gericht zijn op Oost- en Zuidoost-Azië.
Dat blijkt uit bevindingen van cyberbeveiligingsbedrijf ESET, gebaseerd op meerdere Linux-voorbeelden die in maart 2023 vanuit Taiwan, de Filippijnen en Singapore naar het VirusTotal-platform zijn geüpload.
Er is vastgesteld dat WolfsBane een Linux-versie is van de Gelsevirine-achterdeur van de bedreiging, een Windows-malware die al in 2014 werd gebruikt. Ook ontdekt door het bedrijf is een ander voorheen ongedocumenteerd implantaat genaamd FireWood dat is verbonden met een andere malware-toolset bekend als Project Wood. .
FireWood is met weinig vertrouwen toegeschreven aan Gelsemium, gezien de mogelijkheid dat het gedeeld zou kunnen worden door meerdere aan China gelinkte hackploegen.
“Het doel van de ontdekte achterdeurtjes en tools is cyberspionage die zich richt op gevoelige gegevens zoals systeeminformatie, gebruikersgegevens en specifieke bestanden en mappen”, zegt ESET-onderzoeker Viktor Šperka in een rapport gedeeld met The Hacker News.
“Deze tools zijn ontworpen om permanente toegang te behouden en commando’s heimelijk uit te voeren, waardoor langdurig inlichtingen verzamelen mogelijk wordt terwijl detectie wordt omzeild.”
Het exacte initiële toegangspad dat door de bedreigingsactoren wordt gebruikt, is niet bekend, hoewel vermoed wordt dat de bedreigingsactoren een onbekende kwetsbaarheid in webapplicaties hebben misbruikt om webshells te plaatsen voor permanente toegang op afstand, en deze te gebruiken om de WolfsBane-achterdeur af te leveren door middel van een dropper.
Naast het gebruik van de aangepaste open-source BEURK userland rootkit om zijn activiteiten op de Linux-host te verbergen, is het in staat om opdrachten uit te voeren die worden ontvangen van een door een aanvaller bestuurde server. Op dezelfde manier gebruikt FireWood een kerneldriver rootkit-module genaamd usbdev.ko om processen te verbergen en verschillende opdrachten uit te voeren die door de server worden uitgegeven.
Het gebruik van WolfsBane en FireWood is het eerste gedocumenteerde gebruik van Linux-malware door Gelsemium, wat een uitbreiding van de targetingfocus aangeeft.
“De trend dat malware verschuift naar Linux-systemen lijkt in opkomst te zijn in het APT-ecosysteem”, aldus Šperka. “Vanuit ons perspectief kan deze ontwikkeling worden toegeschreven aan verschillende ontwikkelingen op het gebied van e-mail- en eindpuntbeveiliging.”
“De steeds toenemende adoptie van EDR-oplossingen, samen met de standaardstrategie van Microsoft om VBA-macro’s uit te schakelen, leidt tot een scenario waarin tegenstanders gedwongen worden om naar andere potentiële aanvalsmogelijkheden te zoeken.”