Le virus APT chinois Gelsemium cible les systèmes Linux avec une nouvelle porte dérobée WolfsBane
L’acteur de menace persistante avancée (APT) aligné sur la Chine, connu sous le nom de Gelsemium, a été observé en train d’utiliser une nouvelle porte dérobée Linux baptisée WolfsBane dans le cadre de cyberattaques ciblant probablement l’Asie de l’Est et du Sud-Est.
C’est ce que révèle les conclusions de la société de cybersécurité ESET, basées sur plusieurs échantillons Linux téléchargés sur la plateforme VirusTotal depuis Taïwan, les Philippines et Singapour en mars 2023.
WolfsBane a été évalué comme étant une version Linux de la porte dérobée Gelsevirine de l’acteur de la menace , un malware Windows utilisé dès 2014. La société a également découvert un autre implant jusqu’alors non documenté appelé FireWood qui est connecté à un autre ensemble d’outils de malware connu sous le nom de Project Wood .
FireWood a été attribué à Gelsemium avec une faible confiance, étant donné la possibilité qu’il puisse être partagé par plusieurs équipes de piratage liées à la Chine.
« L’objectif des portes dérobées et des outils découverts est le cyberespionnage ciblant des données sensibles telles que les informations système, les identifiants des utilisateurs et des fichiers et répertoires spécifiques », a déclaré le chercheur d’ESET Viktor Šperka dans un rapport partagé avec The Hacker News.
/>« Ces outils sont conçus pour maintenir un accès persistant et exécuter des commandes de manière furtive, permettant ainsi une collecte prolongée de renseignements tout en échappant à la détection. »
La voie d’accès initiale exacte utilisée par les acteurs de la menace n’est pas connue, bien qu’il soit soupçonné que les acteurs de la menace ont exploité une vulnérabilité inconnue d’une application Web pour déposer des shells Web pour un accès à distance persistant, l’utilisant pour livrer la porte dérobée WolfsBane au moyen d’un dropper.
En plus d’utiliser le rootkit open source BEURK modifié pour dissimuler ses activités sur l’hôte Linux, il est capable d’exécuter des commandes reçues d’un serveur contrôlé par un attaquant. Dans la même veine, FireWood utilise un module rootkit de pilote de noyau appelé usbdev.ko pour masquer les processus et exécuter diverses commandes émises par le serveur.
L’utilisation de WolfsBane et FireWood est la première utilisation documentée de malware Linux par Gelsemium, signalant une expansion de la cible ciblée.
« La tendance des malwares à se déplacer vers les systèmes Linux semble être en hausse dans l’écosystème APT », a déclaré Šperka. « De notre point de vue, cette évolution peut être attribuée à plusieurs avancées dans la sécurité des e-mails et des terminaux. »
« L’adoption croissante des solutions EDR, ainsi que la stratégie par défaut de Microsoft consistant à désactiver les macros VBA, conduisent à un scénario dans lequel les adversaires sont obligés de rechercher d’autres voies d’attaque potentielles. »