WolfsBane, nouvelle porte dérobée de cyberespionnage Linux créée par Gelsemium, liée à la Chine – Communiqués de presse

BRATISLAVA, 21 novembre 2024 — Les chercheurs d’ESET ont identifié plusieurs échantillons d’une porte dérobée Linux, qu’ils ont baptisée WolfsBane et qu’ils attribuent avec une grande certitude à Gelsemium, un groupe de menaces persistantes avancées (APT) lié à la Chine. Le but de ces portes et des outils découverts est le cyberespionnage. Il cible les données sensibles : informations système, identifiants des utilisateurs ainsi que fichiers et répertoires spécifiques. Ces outils sont conçus pour maintenir un accès persistant et exécuter des commandes de manière furtive, permettant une collecte prolongée de renseignements tout en échappant à la détection. ESET a découvert les échantillons sur VirusTotal ; ils ont été téléchargés depuis Taïwan, les Philippines et Singapour, probablement en réponse à un incident sur un serveur compromis. Gelsemium avait auparavant ciblé des entités en Asie de l’Est et au Moyen-Orient. Cet acteur malveillant lié à la Chine a des antécédents remontant à 2014 et, jusqu’à présent, aucun rapport public n’a fait état d’utilisation par Gelsemium de logiciels malveillants Linux.

ESET Research a également découvert FireWood, une autre porte dérobée Linux, mais ne peut pas la relier définitivement à d’autres outils Gelsemium. Sa présence dans les archives analysées pourrait être une coïncidence. Par conséquent, ESET attribue FireWood à Gelsemium avec peu de confiance, car il pourrait s’agir d’un outil partagé par plusieurs groupes APT alignés sur la Chine.

« Les échantillons les plus remarquables trouvés dans les archives téléchargées de VirusTotal sont deux portes dérobées ressemblant à des logiciels malveillants Windows connus utilisés par Gelsemium. WolfsBane est l’équivalent Linux de Gelsevirine, tandis que FireWood est lié au projet Wood. Nous avons également découvert d’autres outils potentiellement liés aux activités de Gelsemium », explique Viktor Šperka, chercheur d’ESET, qui a analysé la dernière boîte à outils de Gelsemium.

« Les groupes APT ont tendance à se concentrer sur les logiciels malveillants Linux, ce qui devient de plus en plus visible. Nous pensons que ce changement est dû aux améliorations apportées à la sécurité de la messagerie et des points de terminaison de Windows, telles que l’utilisation généralisée d’outils de détection et de réponse des points de terminaison et la décision de Microsoft de désactiver les macros Visual Basic par défaut. pour les candidatures. Les acteurs malveillants explorent alors de nouveaux moyens d’attaque et se concentrent davantage sur l’exploitation des vulnérabilités des systèmes connectés à Internet, dont la plupart fonctionnent sous Linux », explique Šperka.

WolfsBane, la première porte dérobée, fait partie d’une chaîne de chargement simple composée du compte-gouttes, du lanceur et de la porte dérobée. Une partie de la chaîne d’attaque WolfsBane est également un rootkit open Source modifié, une sorte de logiciel qui existe dans l’espace utilisateur d’un système d’exploitation et cache ses activités. FireWood, la deuxième porte dérobée, est connectée à une porte dérobée suivie par les chercheurs d’ESET sous le nom de Project Wood. ESET l’a retracé jusqu’en 2005 et a observé son évolution vers des versions plus sophistiquées. Il avait déjà été utilisé dans le cadre de l’opération TooHash. Les archives analysées par ESET contiennent également plusieurs outils supplémentaires, principalement des webshells, permettant un contrôle à distance par un attaquant une fois installés sur un serveur compromis, ainsi que des outils utilitaires simples.

Pour un examen plus détaillé et une analyse technique des derniers outils de Gelsemium, consultez le dernier blog d’ESET Research Unveiling WolfsBane : l’équivalent Linux de Gelsemium de Gelsevirine » sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.