Aktor ancaman persisten tingkat lanjut (APT) yang bersekutu dengan Tiongkok yang dikenal sebagai Gelsemium telah diamati menggunakan pintu belakang Linux baru yang dijuluki WolfsBane sebagai bagian dari serangan siber yang kemungkinan menargetkan Asia Timur dan Tenggara.
Hal ini berdasarkan temuan dari perusahaan keamanan siber ESET berdasarkan beberapa sampel Linux yang diunggah ke platform VirusTotal dari Taiwan, Filipina, dan Singapura pada Maret 2023.
WolfsBane telah dinilai sebagai versi Linux dari pintu belakang Gelsevirine pelaku ancaman, malware Windows yang digunakan sejak tahun 2014. Perusahaan juga menemukan implan lain yang sebelumnya tidak berdokumen bernama FireWood yang terhubung ke perangkat malware lain yang dikenal sebagai Project Wood .
FireWood dikaitkan dengan Gelsemium dengan tingkat kepercayaan yang rendah, mengingat kemungkinan bahwa Gelsemium dapat digunakan oleh beberapa kru peretas yang terkait dengan Tiongkok.
“Tujuan dari pintu belakang dan alat yang ditemukan adalah spionase dunia maya yang menargetkan data sensitif seperti informasi sistem, kredensial pengguna, serta file dan direktori tertentu,” kata peneliti ESET Viktor Šperka dalam laporan yang dibagikan kepada The Hacker News.
“Alat-alat ini dirancang untuk mempertahankan akses terus-menerus dan menjalankan perintah secara diam-diam, memungkinkan pengumpulan intelijen dalam waktu lama sambil menghindari deteksi.”
Jalur akses awal yang tepat yang digunakan oleh pelaku ancaman tidak diketahui, meskipun ada dugaan bahwa pelaku ancaman mengeksploitasi kerentanan aplikasi web yang tidak diketahui untuk menjatuhkan shell web untuk akses jarak jauh yang persisten, menggunakannya untuk mengirimkan pintu belakang WolfsBane melalui dropper.
Selain menggunakan rootkit userland BEURK open-source yang dimodifikasi untuk menyembunyikan aktivitasnya di host Linux, ia juga mampu menjalankan perintah yang diterima dari server yang dikendalikan penyerang. Dengan cara yang sama, FireWood menggunakan modul rootkit driver kernel yang disebut usbdev.ko untuk menyembunyikan proses, dan menjalankan berbagai perintah yang dikeluarkan oleh server.
Penggunaan WolfsBane dan FireWood adalah penggunaan malware Linux pertama yang didokumentasikan oleh Gelsemium, yang menandakan perluasan fokus penargetan.
“Tren perpindahan malware ke sistem Linux tampaknya sedang meningkat di ekosistem APT,” kata Šperka. “Dari sudut pandang kami, perkembangan ini dapat dikaitkan dengan beberapa kemajuan dalam email dan keamanan endpoint.”
“Penerapan solusi EDR yang terus meningkat, bersama dengan strategi default Microsoft yang menonaktifkan makro VBA, mengarah pada skenario di mana musuh terpaksa mencari potensi serangan lainnya.”