Um novo backdoor Linux chamado 'WolfsBane' foi descoberto, acreditando-se ser uma versão adaptada de um malware Windows utilizado pelo grupo de hackers chinês 'Gelsemium'.
Pesquisadores de segurança da ESET que analisaram o WolfsBane relatam que o WolfsBane é uma ferramenta de malware completa que apresenta um dropper, lançador e backdoor, ao mesmo tempo que utiliza um rootkit open-source modificado para evitar detecção.
Os pesquisadores também descobriram 'FireWood', outro malware Linux que parece estar vinculado ao malware Windows 'Project Wood'.
No entanto, o FireWood é mais provavelmente uma ferramenta compartilhada usada por múltiplos grupos APT chineses em vez de uma ferramenta exclusiva/privada criada pelo Gelsemium.
A ESET diz que as duas famílias de malware, ambas aparecendo no VirusTotal ao longo do último ano, fazem parte de uma tendência mais ampla onde grupos APT visam cada vez mais plataformas Linux devido ao fortalecimento da segurança Windows.
O WolfsBane é introduzido nos alvos por meio de um dropper chamado 'cron', que solta o componente lançador disfarçado como um componente de desktop KDE.
Dependendo dos privilégios com que é executado, ele desativa o SELinux, cria arquivos de serviço do sistema ou modifica arquivos de configuração do usuário para estabelecer persistência.
O lançador carrega o componente de malware de privacidade, 'udevd', que carrega três bibliotecas criptografadas contendo sua funcionalidade central e configuração de comunicação command and control (C2).
Finalmente, uma versão modificada do rootkit BEURK userland é carregada via '/etc/ld.so.preload' para hooking em todo o sistema a fim de ajudar a ocultar processos, arquivos e tráfego de rede relacionados às atividades do WolfsBane.
"O rootkit WolfsBane Hider faz hooking de muitas funções básicas da biblioteca padrão C, como open, stat, readdir e access", explica a ESET.
Enquanto essas funções acionadas invocam as originais, elas filtram quaisquer resultados relacionados ao malware WolfsBane.
A principal operação do WolfsBane é executar comandos recebidos do servidor C2 usando mapeamentos de comando-função predefinidos, que é o mesmo mecanismo utilizado em sua contraparte Windows.
Esses comandos incluem operações de arquivo, exfiltração de dados e manipulação do sistema, dando ao Gelsemium controle total sobre sistemas comprometidos.
Embora apenas vagamente ligado ao Gelsemium, o FireWood é outro backdoor Linux que poderia possibilitar campanhas de espionagem de longa duração e versáteis.
Suas capacidades de execução de comando permitem aos operadores realizar operações de arquivo, execução de comandos shell, carregamento/descarregamento de bibliotecas e exfiltração de dados.
A ESET identificou um arquivo chamado 'usbdev.ko', que é suspeito de operar como um rootkit em nível de kernel, fornecendo ao FireWood a capacidade de ocultar processos.
O malware estabelece sua persistência no host criando um arquivo de autostart (gnome-control.desktop) em '.config/autostart/', enquanto também pode incluir comandos neste arquivo para executá-los automaticamente na inicialização do sistema.
Uma lista abrangente de indicadores de comprometimento associados às duas novas famílias de malware Linux e às últimas campanhas do Gelsemium está disponível neste repositório do GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...