Nov 21, 2024Ravie LakshmananCyber ​​Espionage/Malware Muigizaji tishio wa hali ya juu (APT) anayeambatana na China anayejulikana kama Gelsemium amezingatiwa kwa kutumia mlango mpya wa nyuma wa Linux unaoitwa WolfsBane kama sehemu ya mashambulizi ya mtandaoni ambayo yanaelekea kulenga Mashariki na Kusini-Mashariki mwa Asia. Hiyo ni kulingana na matokeo ya kampuni ya usalama wa mtandao ya ESET kulingana na sampuli nyingi za Linux zilizopakiwa kwenye jukwaa la VirusTotal kutoka Taiwan, Ufilipino, na Singapore mnamo Machi 2023. WolfsBane imetathminiwa kuwa toleo la Linux la muigizaji tishio la Gelsevirine backdoor, programu hasidi ya Windows. kutumia hadi mwaka wa 2014. Pia iligunduliwa na kampuni ni kipandikizi kingine ambacho hakikuwa na hati kiitwacho FireWood. ambayo imeunganishwa kwenye kifaa kingine cha programu hasidi kinachojulikana kama Project Wood. FireWood imehusishwa na Gelsemium kwa imani ndogo, ikizingatiwa uwezekano kwamba inaweza kushirikiwa na wafanyakazi wengi wa udukuzi wanaohusishwa na Uchina. “Lengo la milango na zana zilizogunduliwa ni ujasusi wa mtandao unaolenga data nyeti kama vile maelezo ya mfumo, kitambulisho cha mtumiaji, na faili na saraka mahususi,” mtafiti wa ESET Viktor Šperka alisema katika ripoti iliyoshirikiwa na The Hacker News. “Zana hizi zimeundwa ili kudumisha ufikiaji unaoendelea na kutekeleza amri kwa siri, kuwezesha mkusanyiko wa akili wa muda mrefu huku ikikwepa kutambuliwa.” Njia halisi ya ufikiaji inayotumiwa na wahusika tishio haijulikani, ingawa inashukiwa kuwa wahusika tishio walitumia hatari isiyojulikana ya programu ya wavuti ili kuangusha makombora ya wavuti kwa ufikiaji unaoendelea wa mbali, wakitumia kuwasilisha mlango wa nyuma wa WolfsBane kwa njia ya kudondosha. Kando na kutumia programu huria ya chanzo huria ya BEURK userland rootkit ili kuficha shughuli zake kwenye seva pangishi ya Linux, ina uwezo wa kutekeleza amri zinazopokelewa kutoka kwa seva inayodhibitiwa na mvamizi. Katika hali kama hiyo, FireWood hutumia moduli ya kiendesha kernel rootkit iitwayo usbdev.ko kuficha michakato, na kuendesha amri mbalimbali zinazotolewa na seva. Matumizi ya WolfsBane na FireWood ni matumizi ya kwanza ya kumbukumbu ya programu hasidi ya Linux na Gelsemium, kuashiria kupanuka kwa lengo la kulenga. “Mtindo wa programu hasidi kuelekea mifumo ya Linux inaonekana kuongezeka katika mfumo ikolojia wa APT,” Šperka alisema. “Kwa mtazamo wetu, maendeleo haya yanaweza kuhusishwa na maendeleo kadhaa katika barua pepe na usalama wa mwisho.” “Kupitishwa kwa kila mara kwa suluhu za EDR, pamoja na mkakati wa msingi wa Microsoft wa kulemaza macros ya VBA, kunasababisha hali ambapo wapinzani wanalazimika kutafuta njia zingine zinazowezekana za kushambulia.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.