Se ha descubierto una nueva puerta trasera de Linux llamada “WolfsBane”, probablemente una versión de malware para Windows utilizada por el grupo de hackers chino “Gelsemium”.
Los investigadores de seguridad de ESET que analizaron WolfsBane informan que WolfsBane es una herramienta de malware integral que incluye un cuentagotas, un lanzador y una puerta trasera, además de utilizar un rootkit de código abierto modificado para evadir la detección.
Los investigadores también descubrieron “FireWood”, otro malware de Linux que parece estar relacionado con el malware “Project Wood” de Windows.
Sin embargo, es más probable que FireWood sea una herramienta compartida utilizada por varios grupos APT chinos en lugar de una herramienta exclusiva/privada creada por Gelsemium.
ESET dice que las dos familias de malware, que aparecieron en VirusTotal durante el último año, son parte de una tendencia más amplia por la cual los grupos APT se dirigen cada vez más a las plataformas Linux debido al endurecimiento de la seguridad de Windows.
“La tendencia de los grupos APT a centrarse en el malware de Linux es cada vez más visible. Creemos que este cambio se debe a las mejoras en el correo electrónico de Windows y la seguridad de los terminales, como el uso generalizado de herramientas de detección y respuesta de terminales (EDR) y la decisión de Microsoft de desactivar las macros visuales. Básico para Aplicaciones (VBA) por defecto. Como resultado, los actores de amenazas están explorando nuevas vías de ataque, centrándose cada vez más en la explotación de. vulnerabilidades en sistemas conectados a Internet, la mayoría de los cuales ejecutan Linux.
❖ESET
El aullido furtivo de WolfsBane
WolfsBane se presenta a los objetivos a través de un cuentagotas llamado “cron”, que coloca el componente del iniciador disfrazado de componente de escritorio KDE.
Dependiendo de los privilegios con los que se ejecuta, deshabilita SELinux, crea archivos de servicio del sistema o modifica archivos de configuración del usuario para establecer la persistencia.
El iniciador carga el componente de privacidad malicioso, “udevd”, que carga tres bibliotecas cifradas que contienen su funcionalidad principal y la configuración de comunicación de comando y control (C2).
Fuente: ESET
Finalmente, se carga una versión modificada del rootkit del usuario BEURK a través de “/etc/ld.so.preload” para conectar todo el sistema y ocultar procesos, archivos y tráfico de red relacionados con las actividades de WolfsBane.
“El rootkit WolfsBane Hider integra muchas funciones básicas de la biblioteca C estándar, como abierto, estadístico, directorio de lecturaY acceso,” explica ESET.
“Aunque estas funciones integradas invocan las originales, filtran todos los resultados relacionados con el malware WolfsBane”.
La operación principal de WolfsBane es ejecutar comandos recibidos del servidor C2 utilizando asignaciones de funciones de comando predefinidas, que es el mismo mecanismo utilizado en su contraparte de Windows.
Estos comandos incluyen operaciones de archivos, filtración de datos y manipulación del sistema, lo que le da a Gelsemium control total sobre los sistemas comprometidos.
Fuente: ESET
Aunque está vagamente relacionado con Gelsemium, FireWood es otra puerta trasera de Linux que podría permitir campañas de espionaje versátiles y de largo plazo.
Sus capacidades de ejecución de comandos permiten a los operadores realizar operaciones de archivos, ejecución de comandos de shell, carga/descarga de bibliotecas y extracción de datos.
ESET ha identificado un archivo llamado “usbdev.ko”, sospechoso de funcionar como un rootkit a nivel de kernel, proporcionando a FireWood la capacidad de ocultar procesos.
El malware establece su persistencia en el host creando un archivo de inicio automático (gnome-control.desktop) en “.config/autostart/”, mientras que también puede incluir comandos en este archivo para ejecutarlos automáticamente al iniciar el sistema.
Una lista completa de indicadores de compromiso asociados con las dos nuevas familias de malware de Linux y las últimas campañas de Gelsemium están disponibles en este repositorio de GitHub.