Buvo aptiktos naujos „Linux“ užpakalinės durys, pavadintos „WolfsBane“, kuri, kaip manoma, yra „Windows“ kenkėjiškų programų prievadas, kurį naudoja Kinijos „Gelsemium“ įsilaužimo grupė.
ESET saugos tyrėjai, išanalizavę WolfsBane, praneša, kad WolfsBane yra visapusiškas kenkėjiškų programų įrankis, turintis lašintuvą, paleidimo priemonę ir užpakalines duris, o aptikimui išvengti jis taip pat naudoja modifikuotą atvirojo kodo šakninį rinkinį.
Tyrėjai taip pat atrado „FireWood“ – kitą „Linux“ kenkėjišką programą, kuri, atrodo, yra susijusi su „Project Wood“ Windows kenkėjiška programa.
Tačiau labiau tikėtina, kad „FireWood“ yra bendras įrankis, naudojamas kelių Kinijos APT grupių, o ne išskirtinis / privatus „Gelsemium“ sukurtas įrankis.
ESET teigia, kad dvi kenkėjiškų programų šeimos, kurios abi pasirodė VirusTotal per pastaruosius metus, yra platesnės tendencijos dalis, kai APT grupės vis dažniau taikosi į Linux platformas dėl stiprėjančio Windows saugumo.
„Tendencija, kad APT grupės daugiausia dėmesio skiria Linux kenkėjiškoms programoms, vis labiau pastebimos. Manome, kad šį pokytį lėmė Windows el. pašto ir galinių taškų saugumo patobulinimai, pvz., plačiai naudojami galinių taškų aptikimo ir atsakymo (EDR) įrankiai ir „Microsoft” sprendimas išjungti „Visual”. „Basic for Applications“ (VBA) makrokomandos pagal numatytuosius nustatymus. į internetą nukreiptos sistemos, kurių dauguma veikia „Linux“.
❖ ESET
Paslaptingas WolfsBane'o kauksmas
„WolfsBane“ pristatomas į taikinius per lašintuvą, pavadintą „cron“, kuris pašalina paleidimo komponentą, užmaskuotą kaip KDE darbalaukio komponentas.
Priklausomai nuo privilegijų, su kuriomis jis veikia, jis išjungia SELinux, sukuria sistemos paslaugų failus arba modifikuoja vartotojo konfigūracijos failus, kad užtikrintų patvarumą.
Paleidimo priemonė įkelia privatumo kenkėjiškų programų komponentą „udevd“, kuris įkelia tris šifruotas bibliotekas, kuriose yra pagrindinės funkcijos ir komandų ir valdymo (C2) ryšio konfigūracija.
Šaltinis: ESET
Galiausiai, modifikuota BEURK userland rootkit versija įkeliama per '/etc/ld.so.preload', kad būtų galima prijungti visą sistemą, kad būtų lengviau paslėpti su WolfsBane veikla susijusius procesus, failus ir tinklo srautą.
„WolfsBane Hider rootkit prikabina daug pagrindinių standartinių C bibliotekos funkcijų, tokių kaip atviras, stat, skaitymo vadovasir prieiga“, – aiškina ESET.
„Nors šios susietos funkcijos iškviečia originalias funkcijas, jos išfiltruoja visus su „WolfsBane“ kenkėjiška programa susijusius rezultatus.
Pagrindinė „WolfsBane“ operacija yra vykdyti komandas, gautas iš C2 serverio, naudojant iš anksto nustatytus komandų funkcijų atvaizdus, kurie yra tokie patys kaip ir „Windows“ analoge.
Šios komandos apima failų operacijas, duomenų išfiltravimą ir sistemos manipuliavimą, suteikiant Gelsemium visišką pažeistų sistemų kontrolę.
Šaltinis: ESET
„FireWood“, nors ir tik laisvai susietas su „Gelsemium“, yra dar viena „Linux“ užpakalinė durelė, galinti sudaryti sąlygas įvairiapusėms, ilgalaikėms šnipinėjimo kampanijoms.
Komandų vykdymo galimybės leidžia operatoriams atlikti failų operacijas, apvalkalo komandų vykdymą, bibliotekos įkėlimą / iškrovimą ir duomenų išfiltravimą.
ESET nustatė failą pavadinimu „usbdev.ko“, kuris, kaip įtariama, veikia kaip branduolio lygio rootkit, suteikiantis „FireWood“ galimybę paslėpti procesus.
Kenkėjiška programa nustato jos išlikimą pagrindiniame kompiuteryje sukurdama automatinio paleidimo failą (gnome-control.desktop) „.config/autostart/“, o į šį failą taip pat gali būti įtrauktos komandos, kad jos būtų automatiškai vykdomos paleidžiant sistemą.
Šioje „GitHub“ saugykloje galima rasti išsamų kompromitavimo rodiklių sąrašą, susijusį su dviem naujomis „Linux“ kenkėjiškų programų šeimomis ir naujausiomis „Gelsemium“ kampanijomis.