.



ESET Research ontdekt WolfsBane - Linux cyberspionage backdoor

ESET-Logo-700400

ESET-onderzoekers hebben meerdere samples van een Linux backdoor geïdentificeerd, die ze WolfsBane hebben genoemd en met een hoge mate van betrouwbaarheid toeschrijven aan Gelsemium, een aan China gelieerde groep voor geavanceerde aanhoudende dreigingen (APT). Het doel van de ontdekte backdoors en tools is cyberspionage gericht op gevoelige gegevens zoals systeeminformatie, gebruikersgegevens en specifieke bestanden en mappen.

Deze tools zijn ontworpen om een langdurige  toegang te behouden en in het geheim commando'suit te voeren, zodat ze langdurig informatie kunnen verzamelen terwijl ze detectie ontwijken. ESET ontdekte de samples op VirusTotal; ze werden geüpload vanuit Taiwan, de Filippijnen en Singapore, waarschijnlijk afkomstig van een incident response op een gecompromitteerde server. Gelsemium heeft zich eerder gericht op entiteiten in Oost-Azië en het Midden-Oosten. Deze Chinese dreigingsactor heeft een bekende geschiedenis die teruggaat tot 2014 en tot nu toe zijn er geen openbare meldingen geweest van Gelsemium met Linux-malware.

Daarnaast ontdekte ESET Research nog een Linux backdoor, FireWood. ESET kan FireWood echter niet definitief linken aan andere Gelsemium tools en de aanwezigheid ervan in de geanalyseerde archieven kan toeval zijn. Daarom schrijft ESET FireWood met matig vertrouwen toe aan Gelsemium, aangezien het een tool kan zijn die gedeeld wordt door meerdere Chinese APT groepen.

“De meest opvallende voorbeelden die we hebben gevonden in archieven die zijn geüpload naar VirusTotal zijn twee backdoors die lijken op bekende Windows-malware die wordt gebruikt door Gelsemium. WolfsBane is de Linux-tegenhanger van Gelsevirine, terwijl FireWood verbonden is met Project Wood. We hebben ook andere tools ontdekt die mogelijk gerelateerd zijn aan de activiteiten van Gelsemium,” zegt ESET-onderzoeker Viktor Šperka, die de nieuwste toolset van Gelsemium analyseerde. De trend van APT-groepen om zich te richten op Linux-malware wordt steeds opvallender. Wij denken dat deze verschuiving te wijten is aan verbeteringen in de beveiliging van Windows e-mail en endpoints, zoals het wijdverbreide gebruik van endpoint detection and response tools en Microsofts beslissing om Visual Basic for Applications macro's standaard uit te schakelen. Als gevolg hiervan verkennen dreigers nieuwe aanvalswegen, met een groeiende focus op het uitbuiten van kwetsbaarheden in internet-gerichte systemen, waarvan de meeste op Linux draaien,” legt Šperka uit.

De eerste backdoor, WolfsBane, is een onderdeel van een eenvoudige aanvalsketen die bestaat uit de dropper, launcher en backdoor. Onderdeel van de geanalyseerde WolfsBane aanvalsketen is ook een aangepaste open-source userland rootkit, een type software dat bestaat in de gebruikersruimte van een besturingssysteem en zijn activiteiten verbergt. De tweede backdoor, FireWood, is verbonden met een backdoor die door ESET-onderzoekers is getraceerd onder de naam Project Wood. ESET traceerde het terug tot 2005 en observeerde dat het evolueerde naar meer geavanceerde versies. De backdoor werd eerder gebruikt in Operation TooHash. De archieven die ESET heeft geanalyseerd bevatten ook verschillende aanvullende tools - voornamelijk webshells - die controle op afstand door een aanvaller mogelijk maken zodra ze zijn geïnstalleerd op een gecompromitteerde server, en eenvoudige hulpprogramma's.

Voor een meer gedetailleerde analyse en technische uitsplitsing van Gelsemium's nieuwste toolset, bekijk de laatste ESET Research blogpost “Unveiling WolfsBane: Gelsemium's Linux counterpart to Gelsevirine” op WeLiveSecurity.com.

 

<
Lees ook
ESET vernieuwt Mail Security for Microsoft Exchange Server

ESET vernieuwt Mail Security for Microsoft Exchange Server

ESET lanceert versie 6 van ESET Mail Security for Microsoft Exchange Server. De oplossing biedt een combinatie van malwarebescherming voor de server, een module tegen spam en uitgebreide scanning van e-mailberichten. ESET Mail Security 6 for Microsoft Exchange Server is compatibel met ESET Remote Administrator 6. De meest zichtbare vernieuwing in1

Toolkit om ransomware te bouwen gratis online beschikbaar

Toolkit om ransomware te bouwen gratis online beschikbaar

Cybercriminelen hebben een nieuw verdienmodel verzonnen. Op internet wordt een toolkit gratis aangeboden waarmee ransomware kan worden gebouwd. Wie gebruikt maakt van de toolkit staat automatisch 20% van het losgeld dat met de ransomware wordt binnengehaald af aan de makers. De ‘Tox kit’, zoals de toolkit wordt genoemd, is ontdekt door Intel Secur1

Nieuwe Windows-malware kan machine onbruikbaar maken

Nieuwe Windows malware is opgedoken die zeer agressief te werk gaat. Indien anti-virussoftware op een besmette machine wordt aangetroffen wordt de machine onbruikbaar gemaakt. Hiervoor waarschuwt de Cisco Talos Security Intelligence and Research Group, de onderzoeksafdeling van Cisco. De Romertik-malware wordt verspreid via spam of phishingmailtjes. In de berichten wordt een ZIP-bestand meegestuurd met daarin een virus. Zodra deze malware is geïnstalleerd gaat de malware op zoek naar anti-virussoftware en bepaalt aan de hand van deze analyse zijn volgende stappen. Inloggegevens onderscheppen1