Кампания кибершпионажа с использованием нового вредоносного ПО для Linux

ESET раскрывает вредоносное ПО для Linux, связанное с китайской группой Gelsemium, использующей программы-закладки WolfsBane и FireWood для целей кибершпионажа и нацеленных на чувствительные данные.

ESET исследователи в области кибербезопасности обнаружили новый тип вредоносного ПО, предназначенного для систем Linux, который они назвали «WolfsBane». Считается, что он связан с китайской хакерской группой под названием Gelsemium.

Эта группа, известная своими изощренными атаками, активна с 2014 года и в основном нацелена на системы Windows. Это новое вредоносное ПО впервые связывает Gelsemium с Linux, платформой, которую все больше и больше атакуют хакеры, говорит ESET.

ESET сообщает, что вредоносная программа WolfsBane похожа на более раннюю вредоносную программу, Gelsevirine, которую Gelsemium использовала для несанкционированного доступа к системам.

Оба инструмента имеют ключевые функции, включая способ общения с серверами, контролируемыми хакерами, выполнения команд и скрытия своего присутствия в зараженных системах.

WolfsBane использует специализированную библиотеку и методы шифрования для обхода обнаружения, что позволяет хакерам наблюдать за системой жертвы и красть конфиденциальную информацию на протяжении длительного времени без обнаружения, говорит ESET.

Наряду с WolfsBane, исследователи обнаружили еще один бэкдор под названием «FireWood», который также может быть связан с Gelsemium, хотя эта связь менее определенная.

FireWood имеет сходства с вредоносным ПО, использовавшимся в прошлых кибератаках группой, включая его структуру и методы шифрования. Однако, из-за возможности использования общих инструментов различными хакерскими группами, связь с Gelsemium не подтверждена, говорит ESET.

ESET объясняет, что эти вредоносные программы разработаны для кибершпионажа, позволяя злоумышленникам красть системные данные, учетные данные и файлы.

Сдвиг в сторону вредоносных программ для Linux происходит по мере того, как хакеры ищут новые векторы атак после усиления мер безопасности в системах Windows, таких как инструменты обнаружения конечных точек и изменения в системе безопасности электронной почты Microsoft. ESET указывает, что многие системы, работающие в интернете, работают на Linux, что делает их привлекательной целью для киберпреступников.

Вредоносное ПО было найдено в архивах, загруженных на VirusTotal, сервис, который используют специалисты в области безопасности для анализа подозрительных файлов. Кажется, его использовали на серверах в Тайване, на Филиппинах и в Сингапуре. Исследование предполагает, что хакеры могли получить доступ к этим серверам через уязвимости в веб-приложениях.

Несмотря на то, что исследователи из ESET продолжают анализировать вредоносное ПО, они подтвердили, что злоумышленники используют передовые техники для поддержания долгосрочного доступа к скомпрометированным системам, что делает их сложными для обнаружения и удаления.

Открытие WolfsBane и FireWood подчеркивает растущую угрозу кибератак, нацеленных на Linux, что подтверждает необходимость усиления мер безопасности на всех платформах.