Le texte suivant est issu d’un communiqué de presse et ne reflète en aucun cas l’avis de la rédaction.
ESET Research a également découvert FireWood, une autre porte dérobée Linux, mais ne peut pas la relier définitivement à d’autres outils Gelsemium. Sa présence dans les archives analysées pourrait être une coïncidence. Par conséquent, ESET attribue FireWood à Gelsemium avec peu de confiance, car il pourrait s’agir d’un outil partagé par plusieurs groupes APT alignés sur la Chine.
« Les échantillons les plus remarquables trouvés dans les archives téléchargées de VirusTotal sont deux portes dérobées ressemblant à des logiciels malveillants Windows connus utilisés par Gelsemium. WolfsBane est l’équivalent Linux de Gelsevirine, tandis que FireWood est lié au projet Wood. Nous avons également découvert d’autres outils potentiellement liés aux activités de Gelsemium », explique Viktor Šperka, chercheur d’ESET, qui a analysé la dernière boîte à outils de Gelsemium.
« Les groupes APT ont tendance à se concentrer sur les logiciels malveillants Linux, ce qui devient de plus en plus visible. Nous pensons que ce changement est dû aux améliorations apportées à la sécurité de la messagerie et des points de terminaison de Windows, telles que l’utilisation généralisée d’outils de détection et de réponse des points de terminaison et la décision de Microsoft de désactiver les macros Visual Basic par défaut. pour les candidatures. Les acteurs malveillants explorent alors de nouveaux moyens d’attaque et se concentrent davantage sur l’exploitation des vulnérabilités des systèmes connectés à Internet, dont la plupart fonctionnent sous Linux », explique Šperka.
WolfsBane, la première porte dérobée, fait partie d’une chaîne de chargement simple composée du compte-gouttes, du lanceur et de la porte dérobée. Une partie de la chaîne d’attaque WolfsBane est également un rootkit open Source modifié, une sorte de logiciel qui existe dans l’espace utilisateur d’un système d’exploitation et cache ses activités. FireWood, la deuxième porte dérobée, est connectée à une porte dérobée suivie par les chercheurs d’ESET sous le nom de Project Wood. ESET l’a retracé jusqu’en 2005 et a observé son évolution vers des versions plus sophistiquées. Il avait déjà été utilisé dans le cadre de l’opération TooHash. Les archives analysées par ESET contiennent également plusieurs outils supplémentaires, principalement des webshells, permettant un contrôle à distance par un attaquant une fois installés sur un serveur compromis, ainsi que des outils utilitaires simples.
Pour un examen plus détaillé et une analyse technique des derniers outils de Gelsemium, consultez le dernier blog d’ESET Research Unveiling WolfsBane : l’équivalent Linux de Gelsemium de Gelsevirine » sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.