มีการค้นพบ backdoor ตัวใหม่บน Linux ชื่อ 'WolfsBane' ซึ่งเชื่อว่าเป็นการดัดแปลงมาจากมัลแวร์บน Windows ที่ใช้โดยกลุ่มแฮ็กเกอร์จีนที่ชื่อ 'Gelsemium'
นักวิจัยด้านความปลอดภัยจาก ESET ที่วิเคราะห์ WolfsBane รายงานว่า WolfsBane เป็นเครื่องมือมัลแวร์ที่สมบูรณ์แบบ โดยประกอบไปด้วย dropper, launcher และ backdoor และยังใช้ Rootkit แบบโอเพ่นซอร์สที่ถูกปรับแต่งเพื่อหลีกเลี่ยงการตรวจจับ
นักวิจัยยังค้นพบมัลแวร์บน Linux อีกตัวชื่อ 'FireWood' ซึ่งดูเหมือนจะมีความเชื่อมโยงกับมัลแวร์บน Windows ที่ชื่อ 'Project Wood'
อย่างไรก็ตาม FireWood มีแนวโน้มที่จะเป็นเครื่องมือที่ถูกใช้งานร่วมกับกลุ่ม APT ของจีนหลายกลุ่ม มากกว่าที่จะเป็นเครื่องมือพิเศษ หรือเครื่องมือที่ถูกสร้างขึ้นเฉพาะสำหรับกลุ่ม Gelsemium
ESET ระบุว่า มัลแวร์ทั้งสองตระกูล ซึ่งปรากฏใน VirusTotal ในช่วงปีที่ผ่านมา โดยเป็นส่วนหนึ่งของแนวโน้มที่กลุ่ม APT หันมาโจมตีแพลตฟอร์ม Linux มากขึ้น เนื่องจากความปลอดภัยบน Windows แข็งแกร่งขึ้นเรื่อย ๆ
“แนวโน้มของกลุ่ม APT ที่มุ่งเน้นไปที่มัลแวร์บน Linux เริ่มชัดเจนขึ้น เราเชื่อว่าการเปลี่ยนแปลงนี้เกิดจากการปรับปรุงในอีเมล และความปลอดภัยของ endpoint security ของ Windows เช่น การใช้เครื่องมือ Endpoint Detection and Response (EDR) อย่างแพร่หลาย และการตัดสินใจของ Microsoft ที่จะปิดใช้งาน Visual Basic for Applications (VBA) macros เป็นค่าเริ่มต้น ดังนั้นผู้โจมตีจึงกำลังสำรวจช่องทางการโจมตีใหม่ ๆ โดยเน้นไปที่การใช้ประโยชน์จากช่องโหว่ในระบบที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งส่วนใหญ่ทำงานบน Linux
WolfsBane's stealthy howl
Wolfsbane จะถูกใช้งานกับเหยื่อผ่าน dropper ที่มีชื่อว่า 'cron' ซึ่งจะ drops ตัว launcher ที่ปลอมตัวเป็น KDE desktop component
โดยขึ้นอยู่กับสิทธิ์ที่เรียกใช้ มันจะปิดใช้งาน SELinux สร้าง system service files หรือแก้ไข user configuration files เพื่อสร้างการแฝงตัวอยู่บนระบบ
เวอร์ชันที่แก้ไขของ BEURK userland rootkit จะถูกโหลดผ่าน '/etc/ld.so.preload' สำหรับการเชื่อมต่อกับระบบเพื่อช่วยซ่อน processes, ไฟล์ และปริมาณการรับส่งข้อมูลบนเครือข่ายที่เกี่ยวข้องกับการดำเนินการของ WolfsBane
ESET อธิบายว่า "WolfsBane Hider Rootkit จะเชื่อมโยงฟังก์ชันมาตรฐานพื้นฐานของไลบรารี C มากมาย เช่น open, stat, readdir และ access"
"แม้ว่าฟังก์ชันที่เชื่อมต่อเหล่านี้จะเรียกใช้ฟังก์ชันดั้งเดิม แต่ฟังก์ชันเหล่านี้จะกรองผลลัพธ์ใด ๆ ที่เกี่ยวข้องกับมัลแวร์ WolfsBane ออกไป"
การทำงานหลักของ WolfsBane คือการดำเนินการคำสั่งที่ได้รับจาก C2 เซิร์ฟเวอร์ โดยใช้การแมปคำสั่ง-ฟังก์ชันที่กำหนดไว้ล่วงหน้า ซึ่งเป็นกลไกเดียวกับที่ใช้ในระบบปฏิบัติการ Windows
คำสั่งเหล่านี้รวมถึงการจัดการไฟล์, การขโมยข้อมูล และการจัดการระบบ ทำให้ Gelsemium มีอำนาจควบคุมระบบที่ถูกเจาะได้อย่างสมบูรณ์
ภาพรวมของ Firewood
แม้จะมีความเชื่อมโยงกับ Gelsemium เพียงเล็กน้อย แต่ FireWood ก็เป็นแบ็คดอร์บน Linux ที่สามารถสนับสนุนการโจมตีในระยะยาวได้อย่างหลากหลาย และยืดหยุ่น
ความสามารถในการรันคำสั่งของมัลแวร์นี้ช่วยให้ผู้โจมตีสามารถทำงานกับไฟล์, รันคำสั่ง shell, โหลด/ยกเลิกการโหลดไลบรารี และการขโมยข้อมูล
ESET ระบุไฟล์ชื่อ 'usbdev.ko' ซึ่งสงสัยว่าเป็น rootkit ในระดับ kernel ทำให้ FireWood มีความสามารถในการซ่อน process ได้
มัลแวร์นี้ตั้งค่าการแฝงตัวอยู่ในโฮสต์โดยการสร้างไฟล์ autostart (gnome-control.desktop) ในโฟลเดอร์ .config/autostart/ และสามารถใส่คำสั่งในไฟล์นี้เพื่อให้รันคำสั่งโดยอัตโนมัติเมื่อระบบเริ่มทำงาน
รายการ IOCs ที่เกี่ยวข้องกับมัลแวร์ Linux ใหม่ทั้งสองตัว และแคมเปญล่าสุดของ Gelsemium สามารถตรวจสอบได้จาก
GitHub repository : https://github.com/eset/malware-ioc/tree/master/gelsemium
ที่มา : bleepingcomputer
You must be logged in to post a comment.