.



ESET Research ontdekt WolfsBane - Linux cyberspionage backdoor

ESET-Logo-700400

ESET-onderzoekers hebben meerdere samples van een Linux backdoor geïdentificeerd, die ze WolfsBane hebben genoemd en met een hoge mate van betrouwbaarheid toeschrijven aan Gelsemium, een aan China gelieerde groep voor geavanceerde aanhoudende dreigingen (APT). Het doel van de ontdekte backdoors en tools is cyberspionage gericht op gevoelige gegevens zoals systeeminformatie, gebruikersgegevens en specifieke bestanden en mappen.

Deze tools zijn ontworpen om een langdurige  toegang te behouden en in het geheim commando'suit te voeren, zodat ze langdurig informatie kunnen verzamelen terwijl ze detectie ontwijken. ESET ontdekte de samples op VirusTotal; ze werden geüpload vanuit Taiwan, de Filippijnen en Singapore, waarschijnlijk afkomstig van een incident response op een gecompromitteerde server. Gelsemium heeft zich eerder gericht op entiteiten in Oost-Azië en het Midden-Oosten. Deze Chinese dreigingsactor heeft een bekende geschiedenis die teruggaat tot 2014 en tot nu toe zijn er geen openbare meldingen geweest van Gelsemium met Linux-malware.

Daarnaast ontdekte ESET Research nog een Linux backdoor, FireWood. ESET kan FireWood echter niet definitief linken aan andere Gelsemium tools en de aanwezigheid ervan in de geanalyseerde archieven kan toeval zijn. Daarom schrijft ESET FireWood met matig vertrouwen toe aan Gelsemium, aangezien het een tool kan zijn die gedeeld wordt door meerdere Chinese APT groepen.

“De meest opvallende voorbeelden die we hebben gevonden in archieven die zijn geüpload naar VirusTotal zijn twee backdoors die lijken op bekende Windows-malware die wordt gebruikt door Gelsemium. WolfsBane is de Linux-tegenhanger van Gelsevirine, terwijl FireWood verbonden is met Project Wood. We hebben ook andere tools ontdekt die mogelijk gerelateerd zijn aan de activiteiten van Gelsemium,” zegt ESET-onderzoeker Viktor Šperka, die de nieuwste toolset van Gelsemium analyseerde. De trend van APT-groepen om zich te richten op Linux-malware wordt steeds opvallender. Wij denken dat deze verschuiving te wijten is aan verbeteringen in de beveiliging van Windows e-mail en endpoints, zoals het wijdverbreide gebruik van endpoint detection and response tools en Microsofts beslissing om Visual Basic for Applications macro's standaard uit te schakelen. Als gevolg hiervan verkennen dreigers nieuwe aanvalswegen, met een groeiende focus op het uitbuiten van kwetsbaarheden in internet-gerichte systemen, waarvan de meeste op Linux draaien,” legt Šperka uit.

De eerste backdoor, WolfsBane, is een onderdeel van een eenvoudige aanvalsketen die bestaat uit de dropper, launcher en backdoor. Onderdeel van de geanalyseerde WolfsBane aanvalsketen is ook een aangepaste open-source userland rootkit, een type software dat bestaat in de gebruikersruimte van een besturingssysteem en zijn activiteiten verbergt. De tweede backdoor, FireWood, is verbonden met een backdoor die door ESET-onderzoekers is getraceerd onder de naam Project Wood. ESET traceerde het terug tot 2005 en observeerde dat het evolueerde naar meer geavanceerde versies. De backdoor werd eerder gebruikt in Operation TooHash. De archieven die ESET heeft geanalyseerd bevatten ook verschillende aanvullende tools - voornamelijk webshells - die controle op afstand door een aanvaller mogelijk maken zodra ze zijn geïnstalleerd op een gecompromitteerde server, en eenvoudige hulpprogramma's.

Voor een meer gedetailleerde analyse en technische uitsplitsing van Gelsemium's nieuwste toolset, bekijk de laatste ESET Research blogpost “Unveiling WolfsBane: Gelsemium's Linux counterpart to Gelsevirine” op WeLiveSecurity.com.

 

<
Lees ook
Blue Coat Systems breidt ETM Ready Programma uit met zeven nieuwe partners

Blue Coat Systems breidt ETM Ready Programma uit met zeven nieuwe partners

Blue Coat Systems, leverancier van IT-beveiligingsoplossingen, heeft zeven nieuwe partners toegevoegd aan het Blue Coat Encrypted Traffic Management (ETM) Ready Programma, waarmee het totaal aantal partners uitkomt op 17. Deze groep van leveranciers van IT-beveiligingsoplossingen werkt samen om klanten te helpen bij het blootleggen en bestrijden v1

The White Team hackt ruim 10.000 routers om deze beter te beveiligen

The White Team hackt ruim 10.000 routers om deze beter te beveiligen

Een groep hackers verspreidt malware die inbreekt op routers en vervolgens de beveiliging van de apparaten verbeterd. De opvallende actie is opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt. De malware is ontdekt door Symantec, die werd getipt door een onafhankelijke onderzoeker. Deze had de malware op zijn eigen router aangetrof1

Cybercriminelen verstoppen malware in populaire Android games

Cybercriminelen verstoppen malware in populaire Android games

Cybercriminelen hebben een backdoor trojan vermomd als populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure. De software werd aangeboden in de officiële Google Play Store. Slachtoffers die één van de games dachten te downloaden installeerden in werkelijkheid ongemerkt malware op hun Android smartphone of tablet. ESET1