ΑρχικήSecurityWolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium

WolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium

Ερευνητές ασφαλείας της ESET ανακάλυψαν ένα νέο Linux backdoor που ονομάζεται «WolfsBane» και χρησιμοποιείται από τους Κινέζους hackers «Gelsemium».

Αναλύοντας το WolfsBane, οι ερευνητές παρατήρησαν ότι πρόκειται για ένα πλήρες εργαλείο κακόβουλου λογισμικού που διαθέτει dropper, launcher και backdoor. Ταυτόχρονα χρησιμοποιεί ένα τροποποιημένο open-source rootkit για να αποφύγει τον εντοπισμό.

WolfsBane backdoor Linux

Οι ερευνητές ανακάλυψαν επίσης το «FireWood», ένα άλλο κακόβουλο λογισμικό που στοχεύει Linux που φαίνεται να συνδέεται με το κακόβουλο λογισμικό των Windows «Project Wood». Ωστόσο, πιστεύεται ότι το FireWood χρησιμοποιείται από πολλές κινεζικές ομάδες APT και δεν αποτελεί αποκλειστικό/ιδιωτικό εργαλείο που δημιουργήθηκε από τους hackers Gelsemium.

Δείτε επίσης: Το Linux malware “perfctl” χρησιμοποιείται για cryptomining

James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα

SecNewsTV 3 hours ago

Η ESET λέει ότι οι ομάδες APT στοχεύουν όλο και περισσότερο πλατφόρμες Linux, λόγω της ισχυρότερης ασφάλειας των Windows.

Η τάση των ομάδων APT να εστιάζουν σε Linux malware γίνεται όλο και πιο αισθητή. Πιστεύουμε ότι αυτή η αλλαγή οφείλεται σε βελτιώσεις στο email και endpoint security των Windows, όπως η ευρεία χρήση των εργαλείων εντοπισμού και απόκρισης τελικού σημείου (EDR) και η απόφαση της Microsoft να απενεργοποιήσει Visual Basic for Applications (VBA) macros από προεπιλογή. Ως εκ τούτου, οι φορείς απειλών εξερευνούν νέες οδούς επίθεσης, με αυξανόμενη εστίαση στην εκμετάλλευση ευπαθειών σε συστήματα, τα περισσότερα από τα οποία τρέχουν σε Linux“, ανέφερε η ESET.

Το WolfsBane backdoor στοχεύει Linux

Το WolfsBane εισάγεται στους στόχους μέσω ενός dropper με το όνομα ‘cron‘, το οποίο εγκαθιστά το launcher component, που είναι μεταμφιεσμένο ως KDE desktop component.

Ανάλογα με τα δικαιώματα με τα οποία εκτελείται, είναι σε θέση να απενεργοποιεί το SELinux, να δημιουργεί system service files ή να τροποποιεί τα αρχεία διαμόρφωσης χρήστη για να εδραιώσει persistence.

Σύμφωνα με τους ερευνητές, το launcher φορτώνει το privacy malware component, «udevd», το οποίο με τη σειρά του φορτώνει τρεις κρυπτογραφημένες βιβλιοθήκες που περιέχουν τη βασική του λειτουργικότητα και τη διαμόρφωση επικοινωνίας εντολών και ελέγχου (C2).

Δείτε επίσης: Το Ubuntu Linux επηρεάζεται από παλιό ελάττωμα στο needrestart

Τέλος, όπως είπαμε και παραπάνω, χρησιμοποιείται μια τροποποιημένη έκδοση του BEURK userland rootkit, που φορτώνεται μέσω του ‘/etc/ld.so.preload’ για σύνδεση σε όλο το σύστημα. Αυτό βοηθά στην απόκρυψη διαδικασιών, αρχείων και network traffic που σχετίζονται με τις δραστηριότητες του Linux backdoor WolfsBane.

Η κύρια λειτουργία του WolfsBane είναι να εκτελεί εντολές που λαμβάνονται από τον διακομιστή C2. Αυτές οι εντολές περιλαμβάνουν file operations, κλοπή δεδομένων και χειρισμό συστήματος, δίνοντας στους Κινέζους hackers Gelsemium τον απόλυτο έλεγχο των παραβιασμένων συστημάτων.

Μια ολοκληρωμένη λίστα με τους δείκτες παραβίασης που σχετίζονται με το WolfsBane (αλλά και το FireWood malware) είναι διαθέσιμες σε αυτό το GitHub repository. Επίσης, υπάρχουν στοιχεία και για τις τελευταίες καμπάνιες των Gelsemium.

Δείτε επίσης: Το νέο «Helldown» Ransomware στοχεύει VMware και Linux συστήματα

Κινέζοι hackers Gelsemium

Προστασία από Linux malware

Η προστασία από Linux malware, όπως το WolfsBane, περιλαμβάνει πολλές βέλτιστες πρακτικές ασφαλείας. Πρώτα και κύρια, η τακτική ενημέρωση του λειτουργικού συστήματος και του εγκατεστημένου λογισμικού μπορεί να επιδιορθώσει ευπάθειες που ενδέχεται να χρησιμοποιήσει ένα κακόβουλο λογισμικό. Επιπλέον, η χρήση μιας ισχυρής διαμόρφωσης firewall βοηθά στην παρακολούθηση και τον έλεγχο του εισερχόμενου και εξερχόμενου network traffic, παρέχοντας ένα επιπλέον επίπεδο άμυνας.

Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί κατά τη λήψη λογισμικού από μη αξιόπιστες πηγές και να χρησιμοποιούν διαχειριστές πακέτων για την εγκατάσταση εφαρμογών, καθώς αυτά τα εργαλεία συχνά επαληθεύουν την ακεραιότητα του λογισμικού. Η ενσωμάτωση λύσεων προστασίας από ιούς, ειδικά σχεδιασμένες για Linux, μπορεί επίσης να βοηθήσει στον εντοπισμό και τον μετριασμό πιθανών απειλών, διασφαλίζοντας ένα ασφαλέστερο περιβάλλον.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS