Porte dérobée de WolfsBane
Le groupe de cybermenaces persistantes avancées (APT) Gelsemium, proche de la Chine, a été associé à une nouvelle porte dérobée Linux appelée WolfsBane. Cet outil serait utilisé dans des cyberopérations visant probablement l'Asie de l'Est et du Sud-Est, marquant une évolution significative dans les tactiques du groupe.
Table des matières
WolfsBane : une adaptation Linux de Gelsevirine
WolfsBane serait la variante Linux de Gelsevirine, une porte dérobée utilisée sur les systèmes Windows depuis 2014. Parallèlement à WolfsBane, les chercheurs ont identifié un autre implant jusqu'alors non documenté, FireWood, qui est lié à une suite de malwares distincte appelée Project Wood. Bien que FireWood ait été provisoirement attribué à Gelsemium, les experts suggèrent qu'il pourrait également être partagé par plusieurs groupes de hackers liés à la Chine.
Ces portes dérobées sont conçues pour effectuer du cyberespionnage en collectant des données sensibles, notamment des informations sur le système, des identifiants et des fichiers. Elles permettent également de conserver un accès à long terme aux systèmes ciblés, ce qui permet des opérations furtives et une collecte prolongée de renseignements.
Accès initial incertain et techniques sophistiquées
La méthode spécifique utilisée pour obtenir l'accès initial reste floue. Cependant, on soupçonne que Gelsemium a exploité une vulnérabilité d'application Web non corrigée pour installer des shells Web, qui ont ensuite été utilisés pour diffuser la porte dérobée WolfsBane via un dropper.
WolfsBane utilise le rootkit open source modifié BEURK pour masquer ses activités sur les systèmes Linux lors de l'exécution de commandes à partir d'un serveur distant. De même, FireWood utilise un module rootkit au niveau du noyau appelé usbdev.ko pour masquer les processus et exécuter des commandes de manière furtive.
Première campagne de malware Linux par Gelsemium
L'utilisation de WolfsBane et FireWood représente le premier déploiement documenté de malwares basés sur Linux par Gelsemium, ce qui signale un changement dans leur ciblage. Ce développement souligne la capacité d'adaptation du groupe et son intérêt à étendre sa portée opérationnelle.
L’attention croissante portée aux systèmes Linux dans le paysage APT
L'utilisation croissante des systèmes Linux par des acteurs malveillants comme Gelsemium reflète des tendances plus larges dans l'écosystème APT. À mesure que les entreprises renforcent leurs défenses avec des technologies de détection des e-mails et des terminaux, notamment la désactivation par défaut des macros VBA par Microsoft et l'adoption croissante des solutions de détection et de réponse aux terminaux (EDR), les attaquants se tournent vers des plateformes alternatives.
Le ciblage stratégique des environnements Linux souligne la nécessité d’approches de sécurité robustes et multicouches capables de détecter et d’atténuer ces menaces avancées.
