.



ESET Research ontdekt WolfsBane - Linux cyberspionage backdoor

ESET-Logo-700400

ESET-onderzoekers hebben meerdere samples van een Linux backdoor geïdentificeerd, die ze WolfsBane hebben genoemd en met een hoge mate van betrouwbaarheid toeschrijven aan Gelsemium, een aan China gelieerde groep voor geavanceerde aanhoudende dreigingen (APT). Het doel van de ontdekte backdoors en tools is cyberspionage gericht op gevoelige gegevens zoals systeeminformatie, gebruikersgegevens en specifieke bestanden en mappen.

Deze tools zijn ontworpen om een langdurige  toegang te behouden en in het geheim commando'suit te voeren, zodat ze langdurig informatie kunnen verzamelen terwijl ze detectie ontwijken. ESET ontdekte de samples op VirusTotal; ze werden geüpload vanuit Taiwan, de Filippijnen en Singapore, waarschijnlijk afkomstig van een incident response op een gecompromitteerde server. Gelsemium heeft zich eerder gericht op entiteiten in Oost-Azië en het Midden-Oosten. Deze Chinese dreigingsactor heeft een bekende geschiedenis die teruggaat tot 2014 en tot nu toe zijn er geen openbare meldingen geweest van Gelsemium met Linux-malware.

Daarnaast ontdekte ESET Research nog een Linux backdoor, FireWood. ESET kan FireWood echter niet definitief linken aan andere Gelsemium tools en de aanwezigheid ervan in de geanalyseerde archieven kan toeval zijn. Daarom schrijft ESET FireWood met matig vertrouwen toe aan Gelsemium, aangezien het een tool kan zijn die gedeeld wordt door meerdere Chinese APT groepen.

“De meest opvallende voorbeelden die we hebben gevonden in archieven die zijn geüpload naar VirusTotal zijn twee backdoors die lijken op bekende Windows-malware die wordt gebruikt door Gelsemium. WolfsBane is de Linux-tegenhanger van Gelsevirine, terwijl FireWood verbonden is met Project Wood. We hebben ook andere tools ontdekt die mogelijk gerelateerd zijn aan de activiteiten van Gelsemium,” zegt ESET-onderzoeker Viktor Šperka, die de nieuwste toolset van Gelsemium analyseerde. De trend van APT-groepen om zich te richten op Linux-malware wordt steeds opvallender. Wij denken dat deze verschuiving te wijten is aan verbeteringen in de beveiliging van Windows e-mail en endpoints, zoals het wijdverbreide gebruik van endpoint detection and response tools en Microsofts beslissing om Visual Basic for Applications macro's standaard uit te schakelen. Als gevolg hiervan verkennen dreigers nieuwe aanvalswegen, met een groeiende focus op het uitbuiten van kwetsbaarheden in internet-gerichte systemen, waarvan de meeste op Linux draaien,” legt Šperka uit.

De eerste backdoor, WolfsBane, is een onderdeel van een eenvoudige aanvalsketen die bestaat uit de dropper, launcher en backdoor. Onderdeel van de geanalyseerde WolfsBane aanvalsketen is ook een aangepaste open-source userland rootkit, een type software dat bestaat in de gebruikersruimte van een besturingssysteem en zijn activiteiten verbergt. De tweede backdoor, FireWood, is verbonden met een backdoor die door ESET-onderzoekers is getraceerd onder de naam Project Wood. ESET traceerde het terug tot 2005 en observeerde dat het evolueerde naar meer geavanceerde versies. De backdoor werd eerder gebruikt in Operation TooHash. De archieven die ESET heeft geanalyseerd bevatten ook verschillende aanvullende tools - voornamelijk webshells - die controle op afstand door een aanvaller mogelijk maken zodra ze zijn geïnstalleerd op een gecompromitteerde server, en eenvoudige hulpprogramma's.

Voor een meer gedetailleerde analyse en technische uitsplitsing van Gelsemium's nieuwste toolset, bekijk de laatste ESET Research blogpost “Unveiling WolfsBane: Gelsemium's Linux counterpart to Gelsevirine” op WeLiveSecurity.com.

 

<
Lees ook
Social engineeringtechniek ClickFix overspoelt dreigingslandschap

Social engineeringtechniek ClickFix overspoelt dreigingslandschap

ClickFix vertegenwoordigt een stijgende en effectieve social engineeringtactiek. Nu traditionele aanvalsvectoren minder effectief worden, vertrouwen dreigingsactoren steeds meer op het manipuleren van menselijk gedrag. Organisaties doen er verstandig aan om hun mensen te trainen in het herkennen

ESET Research publiceert analyse van het Redline Stealer infostealer imperium

ESET Research publiceert analyse van het Redline Stealer infostealer imperium

Vóór Operatie Magnus was RedLine één van de meest wijdverspreide infostealer-malware met een zeer groot aantal affiliates die het controlepaneel gebruikten. De malware-as-a-service-onderneming lijkt echter te worden geleid door slechts een klein aantal mensen, van wie sommigen nu zijn geïdentificeerd.

ESET publiceert het nieuwste APT Activity Report Q2- Q3 2024

ESET publiceert het nieuwste APT Activity Report Q2- Q3 2024

ESET-onderzoekers hebben het nieuwste APT Activity Report uitgebracht, waarin de activiteiten worden belicht van geselecteerde APT-groeperingen (advanced persistent threat) die door ESET-onderzoekers zijn gedocumenteerd van april 2024 tot eind september 2024. ESET observeerde onder andere een opmerkelijke uitbreiding van de aanvallen door het Chin1