我们ESET研究人员发现了多个Linux后门样本,我们将其命名为WolfsBane,并高度确信这些样本与Gelsemium高级持续性威胁(APT)组织有关。这个与中国有关的威胁行为者有着追溯至2014年的已知历史,直到现在,还没有公开报告提到Gelsemium使用过Linux恶意软件。此外,我们还发现了另一个名为FireWood的Linux后门,但我们无法确定地将其与其他Gelsemium工具联系起来,它在分析的存档中的存在可能是偶然的。因此,我们对FireWood归因于Gelsemium的信心较低,考虑到它可能是多个与中国有关的APT组织共享的工具。我们在上传到VirusTotal的存档中发现的最引人注目的样本是两个类似于Gelsemium使用的已知Windows恶意软件的后门。WolfsBane是Gelsevirine的Linux对应物,而FireWood与Project Wood有关。我们还发现了其他可能与Gelsemium活动相关的工具。这些后门和工具的目标是网络间谍活动,针对敏感数据,如系统信息、用户凭证以及特定的文件和目录。这些工具旨在保持持久访问并秘密执行命令,从而在不被检测的情况下实现长期的情报收集。APT组织专注于Linux恶意软件的趋势越来越明显。我们认为这种转变是由于Windows电子邮件和端点安全性的改进,例如广泛使用端点检测和响应(EDR)工具和微软默认禁用Visual Basic for Applications(VBA)宏。因此,威胁行为者正在探索新的攻击途径,越来越多地关注利用互联网面向系统的漏洞,其中大多数系统运行在Linux上。
原文链接:
https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine/
原文始发于微信公众号(狼蛛安全实验室):揭秘Gelsemium组织Linux版Gelsevirine后门WolfsBane
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论