Actores de amenazas están explorando nuevas vías de ataque
El objetivo de las puertas traseras y herramientas descubiertas es el ciberespionaje dirigido a datos confidenciales como información del sistema, credenciales de usuario y archivos y directorios específicos.
Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos de forma sigilosa, lo que permite una prolongada recopilación de inteligencia mientras se evade la detección.
Imagen derecha: Cadena de ejecución de WolfsBane (Fuente: ESET)
WolfsBane
Los investigadores descubrieron las muestras de WolfsBane en VirusTotal, cargadas desde Taiwán, Filipinas y Singapur, que probablemente se originaron a partir de una respuesta a un incidente en un servidor comprometido. Lo atribuyen con gran certeza a Gelsemium, un grupo APT alineado con China.
Gelsemium ya había atacado entidades en el este de Asia y Oriente Medio. Este actor de amenazas alineado con China tiene antecedentes conocidos que se remontan a 2014. Hasta ahora, no ha habido informes públicos de que Gelsemium haya utilizado malware para Linux.
WolfsBane es parte de una cadena de carga simple que consta del cuentagotas (dropper), el lanzador (launcher) y la puerta trasera. Parte de la cadena de ataque de WolfsBane analizada es también un rootkit de código abierto modificado, un tipo de software que existe en el espacio de usuario de un sistema operativo y oculta sus actividades.
FireWood
Además, ESET Research descubrió otro backdoor de Linux, FireWood. Sin embargo, ESET no puede vincular definitivamente FireWood con otras herramientas de Gelsemium, y su presencia en los archivos analizados podría ser una coincidencia. Por lo tanto, ESET atribuye FireWood a Gelsemium con baja confianza, considerando que podría ser una herramienta compartida entre múltiples grupos APT alineados con China.
FireWood está conectado a una puerta trasera que los investigadores han rastreado bajo el nombre de Project Wood. Los investigadores la rastrearon hasta 2005 y observaron que evolucionaba hacia versiones más sofisticadas. La puerta trasera se utilizó anteriormente en la Operación TooHash.
Los archivos analizados por ESET también contienen varias herramientas adicionales (en su mayoría webshells) que permiten el control remoto por parte de un atacante una vez instalados en un servidor comprometido, así como herramientas de utilidad sencillas.
"Las muestras más notables que encontramos en los archivos cargados en VirusTotal son dos puertas traseras que se asemejan a malware conocido de Windows utilizado por Gelsemium. WolfsBane es la contraparte de Gelsevirine para Linux, mientras que FireWood está conectado a Project Wood. También descubrimos otras herramientas potencialmente relacionadas con las actividades de Gelsemium", afirma el investigador de ESET Viktor Šperka, quien analizó el último conjunto de herramientas de Gelsemium.
"La tendencia de los grupos APT a centrarse en el malware para Linux es cada vez más notoria. Creemos que este cambio se debe a mejoras en la seguridad del correo electrónico y de los puntos finales de Windows, como el uso generalizado de herramientas de detección y respuesta de puntos finales y la decisión de Microsoft de deshabilitar las macros de Visual Basic para Aplicaciones de forma predeterminada. En consecuencia, los actores de amenazas están explorando nuevas vías de ataque, con un enfoque creciente en la explotación de vulnerabilidades en sistemas conectados a Internet, la mayoría de los cuales funcionan con Linux", explica Šperka.