L’acteur chinois des menaces persistantes avancées (APT), connu sous le nom de Gelsemium, a été observé en train d’utiliser une nouvelle porte dérobée Linux baptisée WolfsBane dans le cadre de cyberattaques ciblant probablement l’Asie de l’Est et du Sud-Est.
C’est selon résultats de la société de cybersécurité ESET, sur la base de plusieurs échantillons Linux téléchargés sur la plateforme VirusTotal depuis Taiwan, les Philippines et Singapour en mars 2023.
WolfsBane a été évalué comme étant une version Linux de la porte dérobée Gelsevirine de l’acteur malveillant, un malware Windows utilisé dès 2014. La société a également découvert un autre implant non documenté nommé FireWood qui est connecté à un autre ensemble d’outils malveillants connu sous le nom de Project Wood. .
FireWood a été attribué à Gelsemium avec une faible confiance, étant donné la possibilité qu’il puisse être partagé par plusieurs équipes de piratage liées à la Chine.
« Le but des portes dérobées et des outils découverts est le cyberespionnage ciblant les données sensibles telles que les informations système, les informations d’identification des utilisateurs et des fichiers et répertoires spécifiques », a déclaré Viktor Šperka, chercheur d’ESET, dans un rapport partagé avec The Hacker News.
« Ces outils sont conçus pour maintenir un accès persistant et exécuter des commandes de manière furtive, permettant ainsi une collecte prolongée de renseignements tout en échappant à la détection. »
La voie d’accès initiale exacte utilisée par les acteurs de la menace n’est pas connue, bien que l’on soupçonne que les acteurs de la menace ont exploité une vulnérabilité inconnue d’une application Web pour supprimer des shells Web pour un accès à distance persistant, en l’utilisant pour fournir la porte dérobée WolfsBane au moyen d’un compte-gouttes.
En plus d’utiliser l’open source modifié BEURK userland pour dissimuler ses activités sur l’hôte Linux, il est capable d’exécuter des commandes reçues d’un serveur contrôlé par un attaquant. Dans la même veine, FireWood utilise un module rootkit de pilote du noyau appelé usbdev.ko pour masquer les processus et exécuter diverses commandes émises par le serveur.
L’utilisation de WolfsBane et FireWood est la première utilisation documentée d’un malware Linux par Gelsemium, signalant une expansion du ciblage.
« La tendance des logiciels malveillants à se déplacer vers les systèmes Linux semble être en hausse dans l’écosystème APT », a déclaré Šperka. « De notre point de vue, cette évolution peut être attribuée à plusieurs avancées en matière de sécurité des e-mails et des points finaux. »
« L’adoption toujours croissante des solutions EDR, ainsi que la stratégie par défaut de Microsoft consistant à désactiver les macros VBA, conduisent à un scénario dans lequel les adversaires sont obligés de rechercher d’autres voies d’attaque potentielles. »