Çin 'Gelsemium' hackleme grubu tarafından kullanılan bir Windows kötü amaçlı yazılım limanı olduğuna inanılan 'Wolfsbane' adlı yeni bir Linux arka kapı keşfedildi.
Wolfsbane'yi analiz eden ESET güvenlik araştırmacıları, Wolfsbane'nin bir damlalık, başlatıcı ve arka kapıya sahip eksiksiz bir kötü amaçlı yazılım aracı olduğunu bildirirken, aynı zamanda algılamadan kaçmak için değiştirilmiş bir açık kaynaklı rootkit kullanıyor.
Araştırmacılar ayrıca, 'Project Wood' Windows kötü amaçlı yazılımına bağlı görünen başka bir Linux kötü amaçlı yazılım olan 'yakacak odun' keşfettiler.
Bununla birlikte, yakacak odun, Gelsemium tarafından oluşturulan özel/özel bir araç yerine birden fazla Çin APT grubu tarafından kullanılan paylaşılan bir araçtır.
ESET, her ikisi de geçen yıl Virustotal'da görünen iki kötü amaçlı yazılım ailesinin, APT gruplarının Windows güvenliğinin güçlenmesi nedeniyle Linux platformlarını giderek daha fazla hedefledikleri daha geniş bir trendin bir parçası olduğunu söylüyor.
"Linux kötü amaçlı yazılımlara odaklanan APT gruplarının eğilimi daha belirgin hale geliyor. Bu değişimin, Windows e -posta ve uç nokta güvenliğindeki iyileştirmelerden kaynaklandığına inanıyoruz, örneğin uç nokta algılama ve yanıtın ve Microsoft'un görsel devre dışı bırakma kararı Temel (VBA) Makrolar Varsayılan olarak, tehdit aktörleri, çoğu Linux'ta çalışan internete dönük sistemlerde artan bir odaklanma ile yeni saldırı caddeleri araştırıyor. "
Wolfsbane, KDE masaüstü bileşeni olarak gizlenmiş başlatıcı bileşenini düşüren 'Cron' adlı bir damlalık aracılığıyla hedeflere tanıtıldı.
Çalıştığı ayrıcalıklara bağlı olarak, Selinux'u devre dışı bırakır, sistem hizmet dosyaları oluşturur veya kalıcılık oluşturmak için kullanıcı yapılandırma dosyalarını değiştirir.
Başlatıcı, temel işlevselliği ve komut ve kontrol (C2) iletişim konfigürasyonunu içeren üç şifreli kitaplık yükleyen gizlilik kötü amaçlı yazılım bileşeni olan 'Udevd' yükler.
Son olarak, Wolfsbane'nin faaliyetleriyle ilgili süreçleri, dosyaları ve ağ trafiğini gizlemeye yardımcı olmak için sistem genelinde kanca için Beurk Userland rootkitinin değiştirilmiş bir sürümü '/etc/ld.so.preload' üzerinden yüklenir.
ESET, "Wolfsbane Hider Rootkit kancaları Açık, Stat, Readdir ve Erişim gibi birçok temel standart C kütüphanesi işlevini."
"Bu kancalı işlevler orijinal işlevleri çağırırken, Wolfsbane kötü amaçlı yazılımlarla ilgili sonuçları filtreliyorlar."
Wolfsbane'nin ana işlemi, Windows muadilinde kullanılanla aynı mekanizma olan önceden tanımlanmış komut işlev eşlemeleri kullanarak C2 sunucusundan alınan komutları yürütmektir.
Bu komutlar arasında dosya işlemleri, veri eksfiltrasyonu ve sistem manipülasyonu, Gelsemium'a tehlikeye atılan sistemler üzerinde toplam kontrol sağlıyor.
Yalnızca Gelsemium ile gevşek bir şekilde bağlantılı olsa da, yakacak odun çok yönlü, uzun vadeli casusluk kampanyalarını mümkün kılabilecek başka bir Linux arka kapısıdır.
Komut yürütme özellikleri, operatörlerin dosya işlemlerini, kabuk komutu yürütme, kütüphane yükleme/boşaltma ve veri açığa çıkmasını sağlar.
ESET, çekirdek düzeyinde bir rootkit olarak çalıştığından şüphelenilen ve yakacak odun süreçleri gizleme yeteneği sağlayan 'USBDev.ko' adlı bir dosya tanımladı.
Kötü amaçlı yazılım, '.config/autostart/' da bir AutoStart dosyası (gnome control.desktop) oluşturarak ana bilgisayarda kalıcılığını belirlerken, bu dosyaya sistem başlangıçta otomatik olarak yürütmek için komutları da ekleyebilir.
Bu GitHub deposunda iki yeni Linux kötü amaçlı yazılım ailesi ve Gelsemium'un en son kampanyalarıyla ilişkili kapsamlı bir uzlaşma göstergeleri listesi mevcuttur.
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Bilgisayar korsanları, savunmaları devre dışı bırakmak için avast karşıtı anti-rootkit sürücüsünü kötüye kullanıyor
Ubuntu Linux, kök veren on yıllık 'Needrestart' kusurundan etkilendi
Govt Network'teki Sophos Güvenlik Duvarı Hackinde Kullanılan Özel "Cugmy Keçi" Kötü Yazılım
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
Kaynak: Bleeping Computer