Cybersicherheitsforscher von ESET haben eine hochentwickelte Malware namens WolfsBane identifiziert, die speziell auf Linux-Systeme abzielt. Der komplexe Backdoor wurde von der bekannten chinesischen APT-Gruppe Gelsemium entwickelt und basiert auf einer seit 2014 aktiven Windows-Version.
Technische Analyse der Malware-Architektur
WolfsBane zeichnet sich durch eine ausgeklügelte dreistufige Architektur aus, bestehend aus einem Dropper, Launcher und dem eigentlichen Backdoor-Modul. Die Malware nutzt eine modifizierte Version des Open-Source-Rootkits BEURK, um ihre Aktivitäten zu verschleiern. Der initiale Infektionsvektor erfolgt primär über die Ausnutzung von Schwachstellen in Webanwendungen, die den Angreifern die Installation von Webshells ermöglichen.
Infektionsprozess und Persistenzmechanismen
Die Infektion beginnt mit der Ausführung des Droppers, der sich als legitime KDE-Desktop-Komponente tarnt. Je nach erlangten Systemprivilegien kann WolfsBane SELinux deaktivieren, Systemdateien erstellen oder Benutzerkonfigurationen zur Gewährleistung der Persistenz modifizieren.
Fortgeschrittene Tarnungstechniken
Nach der Installation aktiviert der Launcher eine getarnte udevd-Komponente, die drei verschlüsselte Bibliotheken lädt. Diese enthalten den Hauptfunktionsumfang und die Command-and-Control-Server-Konfiguration. Das modifizierte BEURK-Rootkit interceptiert Standard-C-Bibliotheksfunktionen und filtert sämtliche Spuren der Malware-Aktivität aus Systemprotokollen.
Funktionsumfang und Bedrohungspotential
Der Hauptzweck von WolfsBane liegt in der Ausführung von Befehlen der Command-and-Control-Server. Das Funktionsspektrum umfasst Dateioperationen, Datenexfiltration und umfangreiche Systemmanipulationen. Diese Fähigkeiten ermöglichen den Angreifern die vollständige Kontrolle über kompromittierte Systeme.
Parallel zu WolfsBane wurde eine weitere Linux-Malware namens FireWood entdeckt, die Verbindungen zum Windows-basierten Project Wood aufweist. Sicherheitsexperten beobachten einen deutlichen Trend zur verstärkten Entwicklung von Linux-Malware durch APT-Gruppen. Diese Entwicklung wird auf verbesserte E-Mail-Sicherheit, den zunehmenden Einsatz von EDR-Lösungen und die standardmäßige Deaktivierung von VBA-Makros in Microsoft-Produkten zurückgeführt. Um sich vor solchen Bedrohungen zu schützen, empfehlen Sicherheitsexperten die regelmäßige Aktualisierung von Systemen, die Implementierung strenger Zugriffskontrollen und den Einsatz fortschrittlicher Endpoint-Protection-Lösungen.
