ESET-Research identificeerde meerdere voorbeelden van een Linux-backdoor die ze WolfsBane noemden en met grote zekerheid toeschrijven aan Gelsemium, een aan China gelinkte groep voor geavanceerde persistente bedreigingen (APT). Het doel van deze backdoors en tools is cyber spionage gericht op gevoelige informatie zoals systeemgegevens, gebruikersreferenties en specifieke bestanden en mappen.
· ESET Research heeft meerdere voorbeelden van de Linux-backdoor WolfsBane geïdentificeerd en schrijven die met zekerheid toe aan Gelsemium, een APT-groep aan China gelinkt.
· Het doel van deze backdoors en tools is cyber spionage, gericht op gevoelige informatie zoals systeemgegevens, gebruikersreferenties en specifieke bestanden en mappen.
· De voorbeelden kwamen uit Taiwan, de Filipijnen en Singapore.
· WolfsBane is een Linux-versie van Gelsevirine, een Windows-backdoor gebruikt door Gelsemium.
· De tweede backdoor, door ESET FireWood genoemd, is verbonden met ‘Project Wood’. De Windows-versie van de Project Wood-backdoor werd al gebruikt door de Gelsemium-groep.
24 november 2024 — ESET-Research identificeerde meerdere voorbeelden van een Linux-backdoor die ze WolfsBane noemden en met grote zekerheid toeschrijven aan Gelsemium, een aan China gelinkte groep voor geavanceerde persistente bedreigingen (APT). Het doel van deze backdoors en tools is cyber spionage gericht op gevoelige informatie zoals systeemgegevens, gebruikersreferenties en specifieke bestanden en mappen. Deze tools zijn ontworpen om een permanente toegang te behouden en opdrachten heimelijk uit te voeren, zodat langdurige verzameling van inlichtingen mogelijk is terwijl detectie wordt ontweken. ESET ontdekte de voorbeelden bij VirusTotal; ze werden geüpload vanuit Taiwan, de Filipijnen en Singapore en zijn wellicht afkomstig van een incidentrespons op een gecompromitteerde server. Gelsemium had reeds in Oost-Azië en het Midden-Oosten aangevallen uitgevoerd. Deze aan China gelinkte bedreigingsactor heeft een gekende geschiedenis die tot 2014 teruggaat. Tot nu toe waren er geen publieke rapporten over Gelsemium die Linux-malware gebruikt.
Daarnaast ontdekte ESET Research FireWood, een andere Linux-backdoor. ESET kan FireWood niet definitief koppelen aan andere Gelsemium-tools en zijn aanwezigheid in de geanalyseerde archieven kan louter toevallig zijn. Daarom schrijft ESET FireWood met weinig zekerheid toe aan Gelsemium. Het kan een tool zijn die gedeeld wordt door meerdere aan China gelinkte APT-groepen.
“De meest opvallende voorbeelden die we in archieven vonden en die naar VirusTotal geüpload waren, zijn twee backdoors die op bekende Windows-malware lijken en gebruikt zijn door Gelsemium. WolfsBane is de Linux-tegenhanger van Gelsevirine, terwijl FireWood gelinkt is aan ‘Project Wood’. We ontdekten ook andere tools die verband kunnen houden met de activiteiten van Gelsemium”, zegt Viktor Šperka, de ESET-onderzoeker die de nieuwste toolset van Gelsemium analyseerde. De trend van APT-groepen om zich op Linux-malware te richten, valt steeds meer op. Wij denken dat deze verschuiving het gevolg is van verbeteringen in Windows-e-mail en endpoint-beveiliging, zoals het wijdverbreide gebruik van endpoint-detectie- en responstools en het besluit van Microsoft om Visual Basic for Applications-macro’s standaard uit te schakelen. Dreigingsactoren verkennen dan nieuwe aanvalsmogelijkheden, met een grotere focus op het gebruiken van kwetsbaarheden in internetgerichte systemen, die meestal op Linux draaien”, aldus Šperka.
WolfsBane, de eerste backdoor, is een onderdeel van een eenvoudige laadketen die bestaat uit de dropper, launcher en backdoor. Een deel van de geanalyseerde WolfsBane-aanvalsketen is ook een aangepaste open-source userland rootkit, een soort software dat bestaat in de gebruikersruimte van een besturingssysteem en zijn activiteiten verbergt. FireWood, de tweede backdoor, is verbonden met een backdoor die door ESET-onderzoekers onder de naam Project Wood werd gevolgd. ESET traceerde het tot 2005 en zag dat het evolueerde naar geavanceerdere versies. De backdoor werd eerder gebruikt in Operation TooHash. De archieven die ESET analyseerde, bevatten ook verschillende aanvullende tools – vooral webshells – die externe controle door een aanvaller mogelijk maken zodra ze op een gecompromitteerde server geïnstalleerd zijn, alsook eenvoudige hulpprogramma’s.
Voor een meer gedetailleerde en een technische analyse van Gelsemiums nieuwste toolset, lees de nieuwste ESET Research blog “Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine” op www.WeLiveSecurity.com . Volg ook ESET Research op ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
Read more