Gelsemium olarak bilinen Çin uyumlu gelişmiş kalıcı tehdit (APT) aktörünün, muhtemelen Doğu ve Güneydoğu Asya’yı hedef alan siber saldırıların bir parçası olarak WolfsBane adlı yeni bir Linux arka kapısını kullandığı gözlemlendi.
Bu, siber güvenlik firması ESET’in Mart 2023’te Tayvan, Filipinler ve Singapur’dan VirusTotal platformuna yüklenen birden fazla Linux örneğine dayanan bulgularına göre.
WolfsBane’in, tehdit aktörünün 2014’te kullanılmaya başlanan bir Windows kötü amaçlı yazılımı olan Gelsevirine arka kapısının Linux versiyonu olduğu değerlendirildi. Şirket tarafından ayrıca, Project Wood olarak bilinen başka bir kötü amaçlı yazılım araç setine bağlanan, daha önce belgelenmemiş FireWood adlı başka bir implant keşfedildi. .
FireWood, Çin bağlantılı birden fazla bilgisayar korsanlığı ekibi tarafından paylaşılma olasılığı göz önüne alındığında, Gelsemium’a düşük güvenle atfedildi.
ESET araştırmacısı Viktor Šperka, The Hacker News ile paylaşılan bir raporda, “Keşfedilen arka kapıların ve araçların amacı, sistem bilgileri, kullanıcı kimlik bilgileri ve belirli dosya ve dizinler gibi hassas verileri hedef alan siber casusluktur.” dedi.
“Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlandı, böylece tespit edilmekten kaçınırken uzun süreli istihbarat toplanmasına olanak tanıyor.”
Tehdit aktörleri tarafından kullanılan ilk erişim yolu tam olarak bilinmiyor; ancak tehdit aktörlerinin, kalıcı uzaktan erişim için web kabuklarını düşürmek amacıyla bilinmeyen bir web uygulaması güvenlik açığından yararlanıp bunu bir damlalık aracılığıyla WolfsBane arka kapısını sunmak için kullandıklarından şüpheleniliyor.
Linux ana bilgisayarındaki faaliyetlerini gizlemek için değiştirilmiş açık kaynaklı BEURK kullanıcı alanı kök setini kullanmanın yanı sıra, saldırgan tarafından kontrol edilen bir sunucudan alınan komutları yürütme yeteneğine de sahiptir. Benzer şekilde FireWood, işlemleri gizlemek ve sunucu tarafından verilen çeşitli komutları çalıştırmak için usbdev.ko adı verilen bir çekirdek sürücü rootkit modülünü kullanır.
WolfsBane ve FireWood’un kullanımı, Gelsemium tarafından belgelenen ilk Linux kötü amaçlı yazılım kullanımıdır ve hedefleme odağının genişlediğine işaret etmektedir.
Šperka, “Kötü amaçlı yazılımın Linux sistemlerine doğru kayma eğilimi APT ekosisteminde artıyor gibi görünüyor” dedi. “Bizim bakış açımıza göre bu gelişme, e-posta ve uç nokta güvenliğindeki çeşitli ilerlemelere bağlanabilir.”
“Microsoft’un varsayılan VBA makrolarını devre dışı bırakma stratejisiyle birlikte EDR çözümlerinin giderek artan şekilde benimsenmesi, rakiplerin diğer potansiyel saldırı yollarını aramaya zorlandığı bir senaryoya yol açıyor.”