Дослідники з компанії ESET виявили новий складний бекдор для Linux-систем під назвою WolfsBane, розроблений відомою китайською APT-групою Gelsemium. Це шкідливе програмне забезпечення є адаптованою версією Windows-бекдора, який група використовує з 2014 року для проведення цільових кібератак на корпоративний сектор.
Складна архітектура та механізми проникнення
WolfsBane представляє собою комплексне шкідливе ПЗ з трирівневою архітектурою, що включає дропер, лаунчер та основний модуль бекдора. Для приховування своєї присутності малвар використовує модифіковану версію відкритого руткіта BEURK. За даними дослідників, початкове зараження відбувається через експлуатацію вразливостей у веб-додатках, що дозволяє зловмисникам встановлювати веб-шелли для віддаленого доступу.
Методи персистентності та маскування
Процес зараження починається з активації дропера, який запускає компонент під виглядом легітимного елемента KDE Desktop. В залежності від отриманих системних привілеїв, WolfsBane може деактивувати SELinux, створювати системні файли або модифікувати користувацькі конфігурації для забезпечення постійної присутності в системі.
Технології приховування та функціональні можливості
Після встановлення лаунчер активує компонент udevd, який завантажує три зашифровані бібліотеки з основним функціоналом та налаштуваннями командного центру. Особливу увагу привертає використання модифікованого руткіта BEURK, який перехоплює стандартні функції бібліотеки C та фільтрує будь-які сліди присутності WolfsBane в системі.
Функціональність та потенційні загрози
WolfsBane надає зловмисникам широкий спектр можливостей для віддаленого контролю над зараженими системами. Функціонал включає операції з файлами, ексфільтрацію даних та різноманітні системні маніпуляції. Примітно, що аналогічний механізм використовується і у Windows-версії шкідливого ПЗ, що свідчить про системний підхід групи Gelsemium до розробки інструментів кібершпигунства.
Експерти ESET відзначають зростаючу тенденцію переходу APT-груп на розробку шкідливого ПЗ для Linux-систем. Це може бути пов’язано з посиленням захисту електронної пошти, широким впровадженням EDR-рішень та відключенням макросів VBA за замовчуванням у продуктах Microsoft. Для протидії таким загрозам рекомендується впроваджувати комплексні системи захисту, регулярно оновлювати програмне забезпечення та проводити моніторинг підозрілої активності в корпоративних мережах.
