Yakın zamanda ESET araştırmacıları tarafından Gelsemium gelişmiş kalıcı tehdit (APT) grubuna atfedilen WolfsBane adlı yeni bir Linux arka kapısı ortaya çıkarıldı.
Bu keşif, Gelsemium’un Linux kötü amaçlı yazılımını kullandığına dair ilk kamuya açık rapora işaret ediyor ve operasyonel stratejilerinde bir değişime işaret ediyor.
WolfsBane, Gelsemium tarafından kullanılan bilinen bir Windows kötü amaçlı yazılımı olan Gelsevirine’in Linux’taki karşılığı olarak tanımlanıyor.
Kötü amaçlı yazılımın birincil hedefi, sistem bilgileri, kullanıcı kimlik bilgileri ve belirli dosyalar ve dizinler gibi hassas verileri hedef alan siber casusluktur.
Kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış olup, tespitten kaçarken uzun süreli istihbarat toplanmasına olanak tanır.
WolfsBane’in Temel Özellikleri: –
- Ağ iletişimi için özel kitaplıklar
- Gelişmiş komut yürütme mekanizması
- Windows muadili ile benzer konfigürasyon yapısı
- Daha önce bilinen Gelsemium ile ilişkili alanların kullanımı
Araştırmacılar WolfsBane’in yanı sıra FireWood adında başka bir Linux arka kapısı keşfettiler. Gelsemium ile bağlantısı daha az kesin olsa da grubun Project Wood kötü amaçlı yazılımıyla benzerlikler taşıyor.
FireWood’un Gelsemium’a yaptığı atıf, Çin’e uyumlu birden fazla APT grubu arasında paylaşılan bir araç olabileceği göz önüne alındığında, düşük güven ile yapılmıştır.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Saldırı Zinciri
WolfsBane saldırı zinciri üç aşamadan oluşur:
- Damlalık: Meşru bir komut planlama aracı olarak gizlenen bu program, başlatıcıyı ve arka kapıyı gizli dizinlere yerleştirir.
- Başlatıcı: Kalıcılığı korur ve arka kapıyı başlatır.
- Arka kapı: Ana işlevler ve ağ iletişimi için yerleşik kitaplıkları yükler.
.webp)
WolfsBane, aktivitelerini gizlemek için değiştirilmiş bir açık kaynaklı BEURK kullanıcı alanı rootkit’i kullanıyor ve kötü amaçlı yazılımla ilgili sonuçları filtrelemek için temel standart C kitaplığı işlevlerini kullanıyor.
Bu keşif, APT grupları arasında Linux kötü amaçlı yazılımlarına odaklanma yönünde artan bir eğilimin altını çiziyor. Bu değişim şunlara atfedilir:
- Windows e-posta ve uç nokta güvenliğindeki iyileştirmeler
- Uç nokta algılama ve yanıt (EDR) araçlarının yaygın kullanımı
- Microsoft’un Visual Basic for Applications (VBA) makrolarını varsayılan olarak devre dışı bırakma kararı
Sonuç olarak, tehdit aktörleri, çoğu Linux üzerinde çalışan, internete yönelik sistemlerdeki güvenlik açıklarını giderek daha fazla hedef alıyor.
WolfsBane ve FireWood’un ortaya çıkışı Gelsemium’un taktiklerinde ve daha geniş APT ortamında önemli bir evrimi temsil ediyor.
Linux sistemleri daha çekici hedefler haline geldikçe kuruluşların güvenlik stratejilerini bu ortaya çıkan tehditlere karşı koruyacak şekilde uyarlamaları gerekiyor.
Bu gelişme, tüm işletim sistemlerinde kapsamlı güvenlik önlemlerine duyulan ihtiyacın altını çiziyor ve gelişen siber tehditlere karşı uyanık kalmanın önemini vurguluyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin