Se ha observado que el actor de amenazas persistentes avanzadas (APT) alineado con China conocido como Gelsemium utiliza una nueva puerta trasera de Linux denominada WolfsBane como parte de ataques cibernéticos que probablemente tengan como objetivo el este y sudeste de Asia.
Eso es según recomendaciones de la empresa de ciberseguridad ESET basado en múltiples muestras de Linux cargadas a la plataforma VirusTotal desde Taiwán, Filipinas y Singapur en marzo de 2023.
Se ha evaluado que WolfsBane es una versión para Linux de la puerta trasera Gelsevirine del actor de amenazas, un malware de Windows que se utiliza desde 2014. La compañía también descubrió otro implante no documentado previamente llamado FireWood que está conectado a otro conjunto de herramientas de malware conocido como Project Wood. .
FireWood se ha atribuido a Gelsemium con poca confianza, dada la posibilidad de que pueda ser compartido por varios equipos de hackers vinculados a China.
“El objetivo de las puertas traseras y las herramientas descubiertas es el ciberespionaje dirigido a datos confidenciales como información del sistema, credenciales de usuario y archivos y directorios específicos”, dijo el investigador de ESET Viktor Šperka en un informe compartido con The Hacker News.
“Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos sigilosamente, lo que permite una recopilación de inteligencia prolongada mientras se evade la detección”.
Se desconoce la ruta de acceso inicial exacta utilizada por los actores de la amenaza, aunque se sospecha que los actores de la amenaza explotaron una vulnerabilidad desconocida de una aplicación web para lanzar shells web para un acceso remoto persistente, usándolo para entregar la puerta trasera WolfsBane por medio de un cuentagotas.
Además de utilizar el código abierto modificado BEURK userland rootkit para ocultar sus actividades en el host Linux, es capaz de ejecutar comandos recibidos de un servidor controlado por un atacante. De manera similar, FireWood emplea un módulo rootkit del controlador del kernel llamado usbdev.ko para ocultar procesos y ejecutar varios comandos emitidos por el servidor.
El uso de WolfsBane y FireWood es el primer uso documentado de malware para Linux por parte de Gelsemium, lo que indica una expansión del enfoque de ataque.
“La tendencia de que el malware se traslade hacia los sistemas Linux parece estar aumentando en el ecosistema APT”, afirmó Šperka. “Desde nuestra perspectiva, este desarrollo se puede atribuir a varios avances en la seguridad del correo electrónico y de los terminales”.
“La adopción cada vez mayor de soluciones EDR, junto con la estrategia predeterminada de Microsoft de desactivar las macros VBA, están llevando a un escenario en el que los adversarios se ven obligados a buscar otras posibles vías de ataque”.