详细内容或原文请订阅后点击阅览
揭开 WolfsBane 的面纱:Gelsemium 的 Gelsevirine Linux 对应物
ESET 研究人员分析了之前未知的 Linux 后门,这些后门与与中国结盟的 Gelsemium 组织使用的已知 Windows 恶意软件以及 Project Wood 有关
来源:WeLiveSecurity _恶意软件ESET 研究人员已发现多个 Linux 后门样本,我们将其命名为 WolfsBane,我们高度确信这些样本来自 Gelsemium 高级持续性威胁 (APT) 组织。这个与中国结盟的威胁行为者的历史可以追溯到 2014 年,到目前为止,还没有公开报道 Gelsemium 使用 Linux 恶意软件。此外,我们还发现了另一个 Linux 后门,我们将其命名为 FireWood。但是,我们无法明确将 FireWood 与其他 Gelsemium 工具联系起来,它在所分析的档案中的存在可能是巧合。因此,我们认为 FireWood 是 Gelsemium 的低可信度,因为它可能是多个与中国结盟的 APT 组织共享的工具。
我们在上传到 VirusTotal 的档案中发现的最值得注意的样本是两个类似于 Gelsemium 使用的已知 Windows 恶意软件的后门。WolfsBane 是 Gelsevirine 的 Linux 对应物,而 FireWood 与 Project Wood 有关。我们还发现了其他可能与 Gelsemium 活动相关的工具。发现的后门和工具的目标是针对敏感数据(例如系统信息、用户凭据以及特定文件和目录)进行网络间谍活动。这些工具旨在保持持久访问并秘密执行命令,从而能够在逃避检测的同时进行长时间的情报收集。
APT 组织专注于 Linux 恶意软件的趋势越来越明显。我们认为这种转变是由于 Windows 电子邮件和端点安全性的改进,例如端点检测和响应 (EDR) 工具的广泛使用以及 Microsoft 决定默认禁用 Visual Basic for Applications (VBA) 宏。因此,威胁行为者正在探索新的攻击途径,越来越关注利用面向互联网的系统中漏洞,其中大多数系统在 Linux 上运行。
在这篇博文中,我们对 Linux 恶意软件进行了技术分析,主要关注两个不同的后门。
博文要点: