Grupo Hacker Gelsemium usa backdoor WolfsBane no Linux

O grupo hacker chines, conhecido como Gelsemium, foi observado utilizando um novo backdoor para Linux denominado WolfsBane como parte de ataques cibernéticos provavelmente direcionados ao Leste e Sudeste Asiático.

De acordo com descobertas da empresa de cibersegurança ESET, baseadas em múltiplas amostras de Linux enviadas à plataforma VirusTotal de Taiwan, Filipinas e Singapura em março de 2023.

WolfsBane foi avaliado como a versão Linux do backdoor Gelsevirine do ator de ameaça, um malware para Windows utilizado desde 2014. A empresa também descobriu outro implante previamente não documentado chamado FireWood, que está ligado a um conjunto de ferramentas de malware conhecido como Projeto Wood.

FireWood foi atribuído ao Gelsemium com baixa confiança, dada a possibilidade de que ele possa ser compartilhado por múltiplas equipes de hacking ligadas à China.

"O objetivo dos backdoors e ferramentas descobertas é a espionagem cibernética, visando dados sensíveis como informações do sistema, credenciais de usuário, e arquivos e diretórios específicos," disse o pesquisador da ESET, Viktor Šperka.

"Essas ferramentas são projetadas para manter acesso persistente e executar comandos de forma furtiva, permitindo uma coleta de inteligência prolongada enquanto evita a detecção."

O caminho exato de acesso inicial utilizado pelos atores de ameaça não é conhecido, embora se suspeite que os atores de ameaça tenham explorado uma vulnerabilidade desconhecida em aplicações web para deixar web shells para acesso remoto persistente, usando-o para entregar o backdoor WolfsBane por meio de um dropper.

Além de usar o rootkit de userland BEURK modificado e de código aberto para ocultar suas atividades no host Linux, ele é capaz de executar comandos recebidos de um servidor controlado pelo atacante. Da mesma forma, FireWood emprega um módulo de rootkit de driver de kernel chamado usbdev.ko para esconder processos e executar vários comandos emitidos pelo servidor.

O uso de WolfsBane e FireWood representa a primeira documentação do uso de malware Linux pelo Gelsemium, sinalizando uma expansão do foco alvo.

"A tendência de malware se voltando para sistemas Linux parece estar em ascensão no ecossistema APT," disse Šperka. "De nossa perspectiva, este desenvolvimento pode ser atribuído a vários avanços na segurança de email e endpoint."

"A adoção cada vez maior de soluções de EDR, juntamente com a estratégia padrão da Microsoft de desabilitar macros VBA, está levando a um cenário onde os adversários são forçados a buscar outros possíveis caminhos de ataque."

Via - THN