Специалисты компании ESET выявили новую угрозу для Linux-систем — сложный бэкдор WolfsBane, разработанный известной китайской APT-группировкой Gelsemium. Этот вредоносный инструмент является Linux-версией Windows-бэкдора, который группировка активно использует с 2014 года для проведения целевых кибератак.
Техническая архитектура и механизмы внедрения
WolfsBane представляет собой комплексное вредоносное ПО, состоящее из трех основных компонентов: дроппера, лаунчера и непосредственно бэкдора. Для маскировки своего присутствия малварь использует модифицированную версию открытого руткита. Исследователи предполагают, что первичное заражение происходит через эксплуатацию уязвимостей в веб-приложениях, позволяющую злоумышленникам создавать веб-шеллы для удаленного доступа.
Процесс заражения и закрепления в системе
Проникновение WolfsBane начинается с работы дроппера, который запускает компонент, замаскированный под легитимный элемент KDE Desktop. В зависимости от полученных системных привилегий, вредонос может отключать SELinux, создавать системные файлы или модифицировать пользовательские конфигурации для обеспечения персистентности.
Механизмы сокрытия и функциональность
После установки лаунчер активирует компонент udevd, загружающий три зашифрованные библиотеки с основным функционалом и конфигурацией командного центра. Для сокрытия своей активности используется модифицированный руткит BEURK, который перехватывает стандартные функции библиотеки C и фильтрует любые следы присутствия WolfsBane в системе.
Возможности и функционал вредоноса
Основное назначение WolfsBane — выполнение команд, поступающих с C&C-серверов злоумышленников. Функционал включает файловые операции, экфильтрацию данных и различные системные манипуляции, обеспечивающие полный контроль над скомпрометированными устройствами. Примечательно, что аналогичный механизм используется и в Windows-версии малвари.
Тренды в развитии киберугроз
Параллельно с WolfsBane исследователи обнаружили другую Linux-малварь — FireWood, связанную с Windows-вредоносом Project Wood. FireWood представляет собой универсальный инструмент кибершпионажа, используемый несколькими китайскими APT-группировками.
Аналитики ESET отмечают растущую тенденцию перехода APT-групп на разработку вредоносного ПО для Linux-систем. Это может быть связано с усилением защиты электронной почты, широким внедрением EDR-решений и отключением макросов VBA по умолчанию в продуктах Microsoft, что вынуждает злоумышленников искать альтернативные векторы атак.
