TAIWAN / PHILIPPINEN / SINGAPUR / MÜNCHEN (IT BOLTWISE) – Der chinesische APT-Akteur Gelsemium hat eine neue Linux-Backdoor namens WolfsBane entwickelt, die auf Systeme in Ost- und Südostasien abzielt.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Bedrohung durch Cyberangriffe entwickelt sich stetig weiter, und der jüngste Vorstoß der China-verbundenen Gruppe Gelsemium zeigt, wie sich die Angreifer an neue Gegebenheiten anpassen. WolfsBane, eine neue Linux-Backdoor, wurde von der Sicherheitsfirma ESET entdeckt und zielt auf Systeme in Ost- und Südostasien ab. Diese Entwicklung markiert einen bedeutenden Schritt für Gelsemium, die bisher vor allem für ihre Angriffe auf Windows-Systeme bekannt waren. Die Entdeckung von WolfsBane erfolgte durch die Analyse mehrerer Linux-Proben, die im März 2023 auf der Plattform VirusTotal hochgeladen wurden. Diese Proben stammten aus Taiwan, den Philippinen und Singapur, was auf einen geografisch fokussierten Angriff hindeutet. WolfsBane wird als Linux-Version der Gelsevirine-Backdoor angesehen, die seit 2014 auf Windows-Systemen eingesetzt wird. Neben WolfsBane wurde auch ein weiteres, bisher nicht dokumentiertes Implantat namens FireWood entdeckt, das mit einem anderen Malware-Toolset namens Project Wood in Verbindung steht. FireWood wird mit geringer Sicherheit Gelsemium zugeschrieben, da es möglicherweise von mehreren China-verbundenen Hackergruppen geteilt wird. Die Hauptziele dieser Backdoors und Tools sind Cyber-Spionage und der Diebstahl sensibler Daten wie Systeminformationen, Benutzeranmeldeinformationen und spezifische Dateien und Verzeichnisse. Diese Werkzeuge sind darauf ausgelegt, einen dauerhaften Zugriff zu gewährleisten und Befehle unauffällig auszuführen, um eine langfristige Informationsbeschaffung zu ermöglichen und gleichzeitig der Entdeckung zu entgehen. Der genaue Weg, wie die Angreifer initialen Zugriff erlangen, ist nicht bekannt, aber es wird vermutet, dass sie eine unbekannte Schwachstelle in einer Webanwendung ausnutzen, um Web-Shells für einen dauerhaften Fernzugriff zu platzieren und die WolfsBane-Backdoor über einen Dropper zu liefern. WolfsBane nutzt ein modifiziertes Open-Source-BEURK-Userland-Rootkit, um seine Aktivitäten auf dem Linux-Host zu verbergen und Befehle von einem angreifergesteuerten Server auszuführen. In ähnlicher Weise verwendet FireWood ein Kernel-Treiber-Rootkit-Modul namens usbdev.ko, um Prozesse zu verbergen und verschiedene vom Server ausgegebene Befehle auszuführen. Die Nutzung von WolfsBane und FireWood ist die erste dokumentierte Verwendung von Linux-Malware durch Gelsemium und signalisiert eine Erweiterung des Angriffsfokus. Diese Entwicklung könnte auf mehrere Fortschritte in der E-Mail- und Endpunktsicherheit zurückzuführen sein. Die zunehmende Verbreitung von EDR-Lösungen und Microsofts Strategie, VBA-Makros standardmäßig zu deaktivieren, zwingen Angreifer dazu, nach anderen potenziellen Angriffsmöglichkeiten zu suchen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.