WolfsBane Hintertür
Die mit China verbündete Advanced Persistent Threat (APT)-Gruppe Gelsemium wurde mit einer neuen Linux-Hintertür namens WolfsBane in Verbindung gebracht. Dieses Tool wird Berichten zufolge bei Cyberoperationen eingesetzt, die wahrscheinlich auf Ost- und Südostasien abzielen, was eine bedeutende Weiterentwicklung der Taktik der Gruppe darstellt.
Inhaltsverzeichnis
WolfsBane: Eine Linux-Adaption von Gelsevirine
WolfsBane ist vermutlich die Linux-Variante von Gelsevirine, einer Hintertür, die seit 2014 auf Windows-Systemen eingesetzt wird. Neben WolfsBane haben Forscher ein weiteres, bisher nicht dokumentiertes Implantat namens FireWood identifiziert, das mit einer separaten Malware-Suite namens Project Wood verknüpft ist. Obwohl FireWood vorläufig Gelsemium zugeschrieben wurde, vermuten Experten, dass es auch von mehreren Hackergruppen mit Verbindungen zu China genutzt werden könnte.
Diese Hintertüren sind für Cyber-Spionage konzipiert, indem sie sensible Daten wie Systemdetails, Anmeldeinformationen und Dateien sammeln. Sie behalten auch den langfristigen Zugriff auf die Zielsysteme bei und ermöglichen so verdeckte Operationen und die langfristige Informationsbeschaffung.
Unsicherer Erstzugang und anspruchsvolle Techniken
Die konkrete Methode, mit der der erste Zugriff erfolgte, bleibt unklar. Es wird jedoch vermutet, dass Gelsemium eine ungepatchte Schwachstelle in einer Webanwendung ausnutzte, um Webshells zu installieren, die dann verwendet wurden, um die WolfsBane-Hintertür über einen Dropper zu verbreiten.
WolfsBane verwendet das modifizierte Open-Source-Rootkit BEURK, um seine Aktivitäten auf Linux-Systemen zu verbergen, während es Befehle von einem Remote-Server ausführt. Ebenso verwendet FireWood ein Rootkit-Modul auf Kernel-Ebene namens usbdev.ko, um Prozesse zu verbergen und Befehle heimlich auszuführen.
Erste Linux-Malware-Kampagne von Gelsemium
Der Einsatz von WolfsBane und FireWood ist der erste dokumentierte Einsatz von Linux-basierter Malware bei Gelsemium und deutet auf eine Verschiebung ihres Zielfokus hin. Diese Entwicklung unterstreicht die Anpassungsfähigkeit und das Interesse der Gruppe an der Ausweitung ihrer operativen Reichweite.
Zunehmender Fokus auf Linux-Systeme in der APT-Landschaft
Die zunehmende Nutzung von Linux-Systemen durch Bedrohungsakteure wie Gelsemium spiegelt allgemeinere Trends im APT-Ökosystem wider. Da Unternehmen ihre Abwehrmaßnahmen mit E-Mail- und Endpunkterkennungstechnologien verbessern, darunter die standardmäßige Deaktivierung von VBA-Makros durch Microsoft und die zunehmende Einführung von Lösungen zur Endpunkterkennung und -reaktion (EDR), konzentrieren sich Angreifer auf alternative Plattformen.
Das strategische Angriffsziel auf Linux-Umgebungen unterstreicht die Notwendigkeit robuster, mehrschichtiger Sicherheitsansätze, die in der Lage sind, solche fortgeschrittenen Bedrohungen zu erkennen und einzudämmen.
