Ciberseguridad 360 | Nuevo malware backdoor WolfsBane ataca sistemas Linux

Se ha observado que el actor de amenazas persistentes avanzadas (APT) alineado con China conocido como Gelsemium utiliza un nuevo backdoor de Linux apodado WolfsBane como parte de ciberataques probablemente dirigidos a Asia Oriental y Sudoriental.

Esto es seg�n los hallazgos de la empresa de ciberseguridad ESET basados en m�ltiples muestras de Linux subidas a la plataforma VirusTotal desde Taiw�n, Filipinas y Singapur en marzo de 2023.

Se ha determinado que WolfsBane es una versi�n para Linux del backdoor Gelsevirine del actor de la amenaza, un malware para Windows que ya se utiliz� en 2014. La empresa tambi�n ha descubierto otro implante no documentado anteriormente llamado FireWood que est� conectado a otro conjunto de herramientas de malware conocido como Project Wood.

FireWood ha sido atribuido a Gelsemium con poca confianza, dada la posibilidad de que pueda ser compartido por m�ltiples equipos de hacking vinculados a China.

"El objetivo de las puertas traseras y herramientas descubiertas es el ciberespionaje dirigido a datos sensibles como informaci�n del sistema, credenciales de usuario y archivos y directorios espec�ficos", afirma Viktor ?perka, investigador de ESET, en un informe compartido con The Hacker News.

"Estas herramientas est�n dise�adas para mantener un acceso persistente y ejecutar comandos de forma sigilosa, lo que permite la recopilaci�n prolongada de inteligencia mientras se evade la detecci�n".

La ruta de acceso inicial exacta utilizada por los actores de la amenaza no se conoce, aunque se sospecha que los actores de la amenaza explotaron una vulnerabilidad desconocida de la aplicaci�n web para soltar web shells para el acceso remoto persistente, utiliz�ndolo para entregar el backdoor WolfsBane por medio de un dropper.

Adem�s de utilizar el rootkit de usuario de c�digo abierto BEURK modificado para ocultar sus actividades en el host Linux, es capaz de ejecutar comandos recibidos desde un servidor controlado por el atacante. En una l�nea similar, FireWood emplea un m�dulo rootkit controlador del kernel llamado usbdev.ko para ocultar procesos y ejecutar varios comandos emitidos por el servidor.

El uso de WolfsBane y FireWood es el primer uso documentado de malware para Linux por parte de Gelsemium, lo que indica una ampliaci�n de su objetivo.

"La tendencia del malware hacia los sistemas Linux parece ir en aumento en el ecosistema de las APT", afirma ?perka. "Desde nuestro punto de vista, esta evoluci�n puede atribuirse a varios avances en la seguridad del correo electr�nico y de los endpoints".

"La adopci�n cada vez mayor de soluciones EDR, junto con la estrategia por defecto de Microsoft de desactivar las macros VBA, est�n conduciendo a un escenario en el que los adversarios se est�n viendo obligados a buscar otras v�as potenciales de ataque."

Fuente: thehackernews