Linux

WolfsBane」と呼ばれる新しいLinuxバックドアが発見され、中国の「Gelsemium」ハッキング・グループが使用しているWindowsマルウェアの移植と考えられている。

WolfsBaneを分析したESETのセキュリティ研究者によると、WolfsBaneはドロッパー、ランチャー、バックドアを備えた完全なマルウェアツールであり、検出を回避するために修正されたオープンソースのルートキットも使用しているという。

研究者はまた、Windows用マルウェア「Project Wood」に関連していると思われるLinux用マルウェア「FireWood」も発見した。

しかし、FireWoodはGelsemiumが作成した専用/非公開のツールというよりは、複数の中国のAPTグループが使用している共有ツールである可能性が高い。

ESETによると、この2つのマルウェアファミリーは、いずれも昨年VirusTotalに登場したもので、Windowsのセキュリティが強化されたため、APTグループがLinuxプラットフォームを標的にする傾向が強まっているという、より広範な傾向の一部であるという。

「APTグループがLinuxマルウェアに注目する傾向は、より顕著になってきています。この変化は、EDR(Endpoint Detection and Response)ツールの普及や、VBA(Visual Basic for Applications)マクロをデフォルトで無効にするというマイクロソフトの決定など、Windowsの電子メールやエンドポイントのセキュリティが向上したことによるものだと考えています。その結果、脅威者は新たな攻撃手段を模索しており、インターネットに接続されたシステムの脆弱性を悪用することに重点を置くようになっています。

ESET

WolfsBaneのステルス的な遠吠え

WolfsBaneは、「cron」という名前のドロッパーを介してターゲットに導入され、KDEのデスクトップ・コンポーネントに偽装したランチャー・コンポーネントをドロップします。

実行する権限に応じて、SELinuxを無効にしたり、システム・サービス・ファイルを作成したり、永続性を確立するためにユーザー設定ファイルを変更したりする。

ランチャーはプライバシー・マルウェア・コンポーネントである「udevd」をロードし、コア機能とコマンド・アンド・コントロール(C2)通信設定を含む3つの暗号化ライブラリをロードする。

WolfsBane's execution flow
WolfsBaneの実行フロー
Source:ESET

最後に、WolfsBaneの活動に関連するプロセス、ファイル、ネットワークトラフィックを隠すために、BEURKユーザーランドのルートキットの修正バージョンが、システム全体のフック用に「/etc/ld.so.preload」を介してロードされます。

「WolfsBane Hider ルートキットは、openstatreaddiraccess など、多くの基本的な標準 C ライブラリ関数をフックします

「これらのフック関数は、元の関数を呼び出す一方で、WolfsBaneマルウェアに関連する結果をフィルタリングします。

WolfsBaneの主な動作は、事前に定義されたコマンド-ファンクションマッピングを使用してC2サーバーから受信したコマンドを実行することであり、これはWindowsの対応製品で使用されているものと同じメカニズムである。

これらのコマンドには、ファイル操作、データ流出、システム操作などが含まれ、Gelsemiumは侵害されたシステムを完全に制御できる。

Command names on Linux (left) and Windows backdoors (right)
Linux (左) と Windows バックドア (右) のコマンド名
Source:ESET

FireWood の概要

Gelsemiumとの関連は薄いものの、FireWoodもまた、多用途かつ長期的なスパイ活動を可能にするLinuxバックドアです。

そのコマンド実行機能により、ファイル操作、シェルコマンドの実行、ライブラリのロード/アンロード、データの流出を実行することができます。

ESETは、「usbdev.ko」という名前のファイルを特定しました。このファイルは、カーネルレベルのルートキットとして動作する疑いがあり、FireWoodにプロセスを隠す機能を提供します。

このマルウェアは、「.config/autostart/」に自動起動ファイル(gnome-control.desktop)を作成することで、ホスト上での永続性を設定します。また、このファイルにコマンドを含めることで、システム起動時に自動的にコマンドを実行することもできます。

2つの新しいLinuxマルウェア・ファミリーとGelsemiumの最新のキャンペーンに関連する侵害の指標の包括的なリストは、このGitHubリポジトリで入手できます。