WolfsBane バックドア

中国と連携する APT (Advanced Persistent Threat) グループ Gelsemium が、WolfsBane と呼ばれる新しい Linux バックドアに関連していることが判明しました。このツールは、東アジアと東南アジアを狙ったと思われるサイバー攻撃で使用されていると報じられており、このグループの戦術の大きな進化を示しています。

WolfsBane: Gelsevirine の Linux 版

WolfsBane は、2014 年から Windows システムで使用されているバックドアである Gelsevirine の Linux 版であると考えられています。研究者は、WolfsBane とともに、これまで文書化されていなかった別のインプラントである FireWood を特定しました。これは、Project Wood という別のマルウェア スイートに関連付けられています。FireWood は暫定的に Gelsemium によるものとされていますが、専門家は、中国と連携している複数のハッキング グループ間で共有されている可能性もあると示唆しています。

これらのバックドアは、システムの詳細、認証情報、ファイルなどの機密データを収集してサイバースパイ活動を実行するように設計されています。また、標的のシステムへの長期的なアクセスを維持し、ステルス操作と長期的な情報収集を可能にします。

不確実な初期アクセスと高度な技術

最初のアクセスを取得するために使用された具体的な方法は不明です。ただし、Gelsemium がパッチ未適用の Web アプリケーションの脆弱性を悪用して Web シェルをインストールし、その後ドロッパーを介して WolfsBane バックドアを配信したと推測されています。

WolfsBane は、リモート サーバーからコマンドを実行する際に Linux システム上での活動を隠蔽するために、改変されたオープン ソースの BEURK ルートキットを使用します。同様に、FireWood は、プロセスを隠蔽し、密かにコマンドを実行するために、usbdev.ko と呼ばれるカーネル レベルのルートキット モジュールを使用します。

Gelsemium による初の Linux マルウェア キャンペーン

WolfsBane と FireWood の使用は、Gelsemium による Linux ベースのマルウェアの初めての展開として記録されており、標的の焦点が変わったことを示しています。この展開は、同グループの適応力と活動範囲の拡大への関心を浮き彫りにしています。

APT 環境における Linux システムへの注目の高まり

Gelsemium のような脅威アクターによる Linux システムの使用が増えていることは、APT エコシステムのより広範な傾向を反映しています。組織が電子メールやエンドポイント検出テクノロジ (Microsoft の VBA マクロのデフォルトの無効化やエンドポイント検出および対応 (EDR) ソリューションの採用増加など) で防御を強化するにつれて、攻撃者は代替プラットフォームへと方向転換しています。

Linux 環境を戦略的にターゲットにすることは、このような高度な脅威を検出して軽減できる、堅牢で多層的なセキュリティ アプローチの必要性を強調しています。