Ricerca ESET: WolfsBane, la nuova backdoor di spionaggio informatico Linux creata da Gelsemium, collegata alla Cina – Comunicati stampa

BRATISLAVA, 21 novembre 2024 — I ricercatori ESET hanno identificato diversi esempi di backdoor Linux, che hanno chiamato WolfsBane e che attribuiscono con elevata certezza a Gelsemium, un gruppo APT (Advanced Persistent Threat) legato alla Cina. Lo scopo di queste porte e degli strumenti scoperti è lo spionaggio informatico. Prende di mira i dati sensibili: informazioni di sistema, identificatori utente, nonché file e directory specifici. Questi strumenti sono progettati per mantenere un accesso persistente ed eseguire comandi in modo nascosto, consentendo una raccolta prolungata di informazioni ed eludendo il rilevamento. ESET ha scoperto i campioni su VirusTotal; sono stati caricati da Taiwan, Filippine e Singapore, probabilmente in risposta a un incidente su un server compromesso. Gelsemium aveva precedentemente preso di mira entità nell’Asia orientale e nel Medio Oriente. Questo attore di minacce legato alla Cina ha una storia che risale al 2014 e finora non ci sono state segnalazioni pubbliche di Gelsemium che utilizzi malware Linux.

ESET Research ha scoperto anche FireWood, un’altra backdoor Linux, ma non riesce a collegarla in modo definitivo ad altri strumenti Gelsemium. La sua presenza negli archivi analizzati potrebbe essere una coincidenza. Pertanto, ESET attribuisce FireWood a Gelsemium con poca sicurezza, in quanto potrebbe essere uno strumento condiviso da diversi gruppi APT allineati alla Cina.

“Gli esempi più notevoli trovati negli archivi scaricati da VirusTotal sono due backdoor che assomigliano al noto malware Windows utilizzato da Gelsemium. WolfsBane è l’equivalente Linux di Gelsevirine, mentre FireWood è legato al progetto Wood. Abbiamo scoperto anche altri strumenti potenzialmente collegati alle attività di Gelsemium”, spiega il ricercatore ESET Viktor Šperka, che ha analizzato l’ultimo toolkit di Gelsemium.

“I gruppi APT tendono a concentrarsi sul malware Linux, questo sta diventando sempre più evidente. Riteniamo che questo cambiamento sia dovuto ai miglioramenti della sicurezza degli endpoint e della posta elettronica di Windows, come l’uso diffuso di strumenti di rilevamento e risposta degli endpoint e la decisione di Microsoft di disabilitare le macro di Visual Basic per impostazione predefinita per le applicazioni. Gli autori malintenzionati esplorano quindi nuovi mezzi di attacco e si concentrano maggiormente sullo sfruttamento delle vulnerabilità nei sistemi connessi a Internet, la maggior parte dei quali esegue Linux”, spiega Šperka.

WolfsBane, la prima backdoor, fa parte di una semplice catena di caricamento composta da dropper, launcher e backdoor. Della catena di attacchi WolfsBane fa parte anche un rootkit open Source modificato, un tipo di software che esiste nello spazio utente di un sistema operativo e ne nasconde le attività. FireWood, la seconda backdoor, è collegata a una backdoor tracciata dai ricercatori ESET sotto il nome Project Wood. ESET lo ha fatto risalire al 2005 e ne ha osservato l’evoluzione verso versioni più sofisticate. Era già stato utilizzato nell’operazione TooHash. Gli archivi analizzati da ESET contengono anche diversi strumenti aggiuntivi, principalmente webshell, che consentono il controllo remoto da parte di un utente malintenzionato una volta installati su un server compromesso, oltre a semplici strumenti di utilità.

Per una revisione più dettagliata e un’analisi tecnica degli ultimi strumenti di Gelsemium, consulta l’ultimo blog di ESET Research Unveiling WolfsBane: la controparte Linux di Gelsemium a Gelsevirine” su www.WeLiveSecurity.com. Segui ESET Research su Twitter (oggi noto come X) per le ultime notizie da ESET Research.