El APT chino ataca los sistemas Linux con su nuevo backdoor WolfsBane

Iniciado por AXCESS, Noviembre 23, 2024, 12:11:49 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Noviembre 23, 2024, 12:11:49 AM Ultima modificación: Noviembre 23, 2024, 12:14:43 AM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha observado que el actor de amenazas persistentes avanzadas (APT) aliado de China, conocido como Gelsemium, utiliza una nueva puerta trasera de Linux denominada WolfsBane como parte de ciberataques que probablemente tengan como objetivo el este y el sudeste de Asia.

Así lo indican los hallazgos de la empresa de ciberseguridad ESET basados en múltiples muestras de Linux cargadas en la plataforma VirusTotal desde Taiwán, Filipinas y Singapur en marzo de 2023.

Se ha evaluado que WolfsBane es una versión para Linux de la puerta trasera Gelsevirine de dicho actor de amenazas; un malware para Windows que se utilizó en 2014. La empresa también descubrió otro implante no documentado anteriormente llamado FireWood que está conectado a un conjunto de herramientas de malware diferente conocido como Project Wood.

FireWood se ha atribuido a Gelsemium con poca confianza, dada la posibilidad de que pueda ser compartido por varios equipos de piratas informáticos vinculados a China.

"El objetivo de las puertas traseras y las herramientas descubiertas es el espionaje cibernético dirigido a datos confidenciales como información del sistema, credenciales de usuario y archivos y directorios específicos", dijo el investigador de ESET Viktor Šperka en un informe compartido con The Hacker News.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos de forma sigilosa, lo que permite una recopilación prolongada de información mientras se evade la detección".

No se conoce la vía de acceso inicial exacta utilizada por los actores de la amenaza, aunque se sospecha que los actores de la amenaza explotaron una vulnerabilidad de aplicación web desconocida para instalar web shells para un acceso remoto persistente, utilizándola para entregar la puerta trasera WolfsBane por medio de un dropper.

Además de utilizar el rootkit de código abierto modificado BEURK para ocultar sus actividades en el host Linux, es capaz de ejecutar comandos recibidos de un servidor controlado por el atacante. De manera similar, FireWood emplea un módulo rootkit de controlador de kernel llamado usbdev.ko para ocultar procesos y ejecutar varios comandos emitidos por el servidor.

El uso de WolfsBane y FireWood es el primer uso documentado de malware para Linux por parte de Gelsemium, lo que indica una expansión del enfoque de ataque.

"La tendencia de que el malware se desplace hacia los sistemas Linux parece estar en aumento en el ecosistema APT", afirmó Šperka. "Desde nuestra perspectiva, este desarrollo se puede atribuir a varios avances en la seguridad del correo electrónico y de los puntos finales".

"La adopción cada vez mayor de soluciones EDR, junto con la estrategia predeterminada de Microsoft de deshabilitar las macros VBA, están generando un escenario en el que los adversarios se ven obligados a buscar otras posibles vías de ataque".

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta