Обнаружен новый бэкдор для Linux под названием WolfsBane, который, как полагают, является портом вредоносной программы для Windows, используемой китайской хакерской группой Gelsemium.
Исследователи безопасности ESET, проанализировавшие WolfsBane, сообщают, что WolfsBane - это полноценный вредоносный инструмент, включающий дроппер, пусковую установку и бэкдор, а также использующий модифицированный руткит с открытым исходным кодом для уклонения от обнаружения.
Исследователи также обнаружили FireWood, еще одну вредоносную программу для Linux, которая, как оказалось, связана с вредоносной программой Project Wood для Windows.
Однако, FireWood, скорее всего, является общим инструментом, используемым несколькими китайскими APT-группами, а не эксклюзивным/частным инструментом, созданным Gelsemium.
Постоянная серьезная угроза (advanced persistent threat, APT) — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак.
По мнению ESET, эти два семейства вредоносных программ, появившиеся на VirusTotal за последний год, являются частью более широкой тенденции, когда APT-группы все чаще нацеливаются на Linux-платформы из-за усиления защиты Windows.
"Тенденция, когда APT-группы фокусируются на вредоносном ПО для Linux, становится все более заметной. Мы считаем, что этот сдвиг связан с улучшением защиты электронной почты и рабочих станций на базе Windows. Например с широким распространением средств обнаружения и реагирования на конечные точки (EDR) и решением Microsoft отключить макросы Visual Basic for Applications (VBA) по умолчанию. В связи с этим злоумышленники ищут новые пути для атак, уделяя все больше внимания использованию уязвимостей в системах, выходящих в Интернет, большинство из которых работают под управлением Linux."
Сообщает ESET.
