【样本分享】WolfsBane: Gelsemium APT组织的Linux后门首次亮相

安恒恒脑 2024-11-25 19:04:36 38人浏览

概要:

ESET研究人员揭示了WolfsBane,这是Gelsevirine后门在Linux平台上的对应版本,标志着Gelsemium高级持续威胁(APT)组织的重要里程碑。该组织以针对东亚和中东的网络间谍活动而闻名,现已将Linux系统纳入其攻击工具箱,显示出其战略的转变。此事件突显了网络安全领域中不断演变的威胁。

主要内容:

WolfsBane是Gelsemium首次被记录的Linux恶意软件,表明该组织自2014年以来的活动策略发生了显著变化。ESET指出,随着Windows安全性的提升,如广泛采用的端点检测与响应(EDR)工具和微软默认禁用VBA宏,攻击者不得不寻找新的攻击面,Linux系统因此成为主要目标。

WolfsBane的恶意软件由三部分组成:投放器、启动器和后门本身。投放器伪装成合法的系统工具(如cron),以规避检测。一旦部署,它通过利用系统服务和部署用户空间根套件来建立持久性,隐藏其存在。该后门与Gelsevirine有着紧密的联系,使用相同的命令执行机制和自定义库,显示出其代码库中的一致性。

此外,ESET还发现了与Project Wood恶意软件家族可能相关的FireWood后门。随着Linux系统在服务器环境中的主导地位,WolfsBane的出现表明Gelsemium APT组织在扩展其攻击面,利用隐蔽性和持久性,给Linux基础设施的组织带来了重大风险。

APT 恶意代码 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。