ESET ontdekt cyberspionagemalware WolfsBane voor Linux

Beveiligingsonderzoekers van ESET hebben malware ontdekt die is bedoeld om informatie te stelen van Linux-systemen. Het zogenaamde WolfsBane lijkt op een port van soortgelijke Windows-malware die wordt verspreid door de Chinese hackersgroep Gelsemium.

ESET schrijft in een blogpost dat WolfsBane de rol van zowel dropper, launcher als backdoor vervult. Het cybersecuritybedrijf stelt dat de malware is gericht op het verzamelen van gevoelige gegevens van geïnfecteerde systemen. De software is ontworpen om toegang te behouden en in het geniep commando's uit te voeren, zodat hackers langdurig ongedetecteerd informatie kunnen verzamelen.

Naast WolfsBane hebben de onderzoekers ook FireWood ontdekt, dat qua functionaliteit lijkt op WolfsBane. Beide zijn een Linux-variant van bestaande Windows-malware van Gelsemium, respectievelijk Gelsevirine en Project Wood. In tegenstelling tot WolfsBane is ESET er echter niet van overtuigd dat FireWood exclusief is gemaakt door de hackers. Laatstgenoemde is namelijk een tool die mogelijk wordt gedeeld door meerdere aan China gelieerde cybercrimegroepen.

Volgens ESET is WolfsBane de eerste publiekelijk genoemde Linux-malware van de hackersgroep, die sinds 2014 actief is en bekend is onder de naam Gelsemium. Het markeert naar eigen zeggen een opmerkelijke verschuiving in de operationele strategie van de cybercriminelen.

Reacties (21)

wesleey 22 november 2024 17:43

En hoe wordt men geïnfecteerd?

Edit:

Although we lack concrete evidence regarding the initial access vector, the presence of multiple webshells (as shown in Table 1 and described in the Webshells section) and the tactics, techniques, and procedures (TTPs) used by the Gelsemium APT group in recent years, we conclude with medium confidence that the attackers exploited an unknown web application vulnerability to gain server access.

[Reactie gewijzigd door wesleey op 22 november 2024 17:48]

Scriptkid @wesleey • 22 november 2024 19:31

Dus we missen nog een paar kwetsbare en exploitable issues atm

OruBLMsFrl @Scriptkid • 22 november 2024 23:09

Of die servers waarop dit is aangetroffen missen nog een paar patches danwel verbeteringen aan hun configuraties... valt uit het Tweakers artikel niet op te maken. En in praktijk zijn er altijd wel kwetsbare systemen op internet te vinden, en die zijn dan deels ook nog weer honeypots van security onderzoekers.

Scriptkid @OruBLMsFrl • 23 november 2024 10:50

Maar dan zouden ze dat toch aan moeten kunnen duiden dat er al exploits niet gepatched waren

Jerie

@wesleey • 22 november 2024 18:47

Zeker interessant, echter als 'het goed is' (voor de aanvaller) kan men payload aanpassen aan kwetsbaarheid.

ronald136813 @wesleey • 24 november 2024 11:29

Ik heb een aantal QNAPS en die ben ik nu aan het updaten op dit moment.
Heb ook nog RPI 5 draaien met Domoticz ben dat ook even aan het uitzoeken , van de week had ik al PI OS geupdate , maar ga nog eens kijken

Verwijderd @wesleey • 24 november 2024 12:10

Mijn tabbladen worden soms ook overgenomen en requests op pending, is dat gescript op de computer of netwerk, moet eerst back-uppen voordat ik opnieuw kan installeren

Neus 22 november 2024 17:52

Ik draai Wazuh op al mijn systemen - deze zou dit dus moeten melden, toch ?

Vampyre @Neus • 22 november 2024 18:27

In theorie wel, maar als Wazuh dit op je systemen detecteert ben je eigenlijk al te laat.

lolsra @Neus • 22 november 2024 18:38

Probeer Wazuh eens uit te breiden met Suricata (NIDS). Zo kan je meer grip krijgen op het daadwerkelijke netwerkverkeer binnen je systemen. Hopelijk pikt Suricata deze malware snel op.

Verwijderd @lolsra • 24 november 2024 12:11

Wat is er mis met whireshark als je disks vol zitten met testdata net een rar uitgepakt van 230 GB (testje) wel mooie .oggjes

[Reactie gewijzigd door Verwijderd op 24 november 2024 12:12]

Omega 22 november 2024 17:46

En dan is de grootste vraag natuurlijk hoe het nou wordt verspreid. Volgens The Hacker Nieuws is dit momenteel nog onbekend.

The exact initial access pathway used by the threat actors is not known, although it's suspected that the threat actors exploited an unknown web application vulnerability to drop web shells for persistent remote access, using it to deliver the WolfsBane backdoor by means of a dropper.

Buffalo 23 november 2024 12:14

Geldt dit ook voor Synology NASsen? Die draaien toch ook op Linux? En RqspberyPi, die gebruik ik om via VPN naar mijn netwerk te verbinden.

postbus2000 23 november 2024 08:29

Welke linux versies zijn hier nu vatbaar voor ? Moet "Jan met de pet" (ik dus) die Mint draait , Ubuntu (+X + K ) draait , en speelt met andere versies zich ook al zorgen maken ?

xxs @postbus2000 • 23 november 2024 08:35

Je moet je altijd ‘zorgen’ blijven maken, het blijft een gevecht tegen dit soort organisaties en ciriminelen.

Kabouterplop01 @postbus2000 • 23 november 2024 10:56

Je moet zorgen dat mocht er noodzaak zijn om je systeem rechtstreeks aan het internet te hangen, er genoeg mitigerende én monitoring maatregelen zijn dat je kunt achterhalen dat er nare zaken zijn gebeurd op je systeem. Vergeet niet een backup te maken.

Als je geen poorten hebt geforward naar je systeem hoef je je denk ik niet zoveel zorgen te maken.
Dan gebruik je je systeem om mee te internetten en denk ik dat je je moet wenden tot ad/pop-up blockers een antivirus product, least privilleged accounts en gezond verstand. (genoeg mitigerende maatregelen?)

Ik ben van (professionele) mening dat als je systemen aan het internet hebt hangen die niet binnen 24u gepatcht kunnen worden, die niet aan het internet horen te hangen.

Het lijkt hier te gaan om een, of meerdere exploits op systemen die webservices draaien en die debian based zijn als ik de technische details goed heb gelezen.

svennd @postbus2000 • 23 november 2024 16:26

De focus van deze lijkt me niet op desktop linux gericht maar servers. Ze vermoeden dat het via een webserver tomcat + java applicatie binnen gekomen is. Dat is meestal niet iets wat een desktop naar het internet open heeft.

Ook heeft de hackersgroep beperkt interesse in jouw familie foto's ... maar eerder in grote hoeveelheden data waarmee de overheid waarvoor ze werken in geinteresseerd is. Overigens is het voor desktop gebruikers relatief eenvoudig om selinux & apparmor aan te laten waardoor dit -vermoedelijk- een niet succesvolle attempt zou zijn.

emansom 23 november 2024 01:36

CGroups V2, SELinux/AppArmor en dichtgetimmerde file system permissions boven op een read-only OSTree.

Helaas investeerd de gemiddelde systeemadministrator niks in zelfontplooing, en ja; dan is men vatbaar.

Kabouterplop01 @emansom • 23 november 2024 08:07

CGroups V2, SELinux/AppArmor en dichtgetimmerde file system permissions boven op een read-only OSTree.

Helaas investeerd de gemiddelde systeemadministrator niks in zelfontplooing, en ja; dan is men vatbaar.

Hoe patch je dat? (het klinkt mooi hoor, maar dan kun je de kwetsbaarheden niet, of deels verhelpen)
Als je de RO flag eerst moet weghalen zou een kundige adversary d.m.v. een set van exploits dat ook moeten kunnen.
Wat dat betreft moet je de commando's die worden gegeven óók loggen en monitoren.

emansom @Kabouterplop01 • 23 november 2024 10:13

Deels verhelpen inderdaad. Grotendeels.

svennd @emansom • 23 november 2024 11:35

Helaas investeerd de gemiddelde systeemadministrator niks in zelfontplooing, en ja; dan is men vatbaar.

Dat is een stevige quote. Ik zou zeggen de gemiddelde programmeur wil geen extra module schrijven voor selinux en zegt dan maar "disable selinux".

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (21)

Sorteer op:

Weergave: