Malware WolfsBane – nedavno oktriven od stane istraživača iz ESET-a, novi backdoor za Linux, koji koristi Gelsemium APT grupa iz Kine.
Ovo je prva poznata instanca Gelsemium-a koji koristi Linux malver. Backdoor je dizajniran da ukrade osetljive podatke, uključujući sistemske informacije, korisničke akreditive i određene datoteke i direktorijume.
WolfsBane je Linux verzija Gelsevirine-a, Windows backdoor-a koji Gelsemium koristi od 2014. Backdoor se distribuira sa dropper-om koji se predstavlja kao pravi alat za planiranje komandi. Kada se izvrši, dropper instalira pokretač WolfsBane i backdoor na ciljni sistem. Pokretač je prerušen u KDE komponentu desktopa, dok je backdoor skriven kao sistemska usluga.
WolfsBane backdoor komunicira sa serverom za komandu i kontrolu (C&C) preko prilagođenog mrežnog protokola. Backdoor može da pokreće komande, preuzima datoteke i otprema ih na C&C server. Backdoor takođe može sakriti svoje postojanje na sistemu promenom konfiguracionih datoteka sistema.
Pored WolfsBane-a, istraživači iz ESET-a su identifikovali još jedan Linux backdoor, nazvan FireWood, koji je povezan sa malverom Project Wood. U prošlosti, Gelsemium je koristio Windows backdoor, Project Wood. FireWood je Linux verzija Project Wood-a, a takođe je dizajnirana za krađu osetljivih informacija.
Istraživači veruju da je prelazak na Linux malver posledica poboljšanja bezbednosti Windows krajnjih tačaka. Kao rezultat toga, akteri pretnji istražuju nove načine napada, sve više se fokusirajući na iskorišćavanje nedostataka u sistemima okrenutim Internetu, od kojih većina radi na Linux-u.
Otkriće WolfsBane i FireWood malvera služi kao podsetnik da su i Linux sistemi ranjivi na napade.
Organizacije moraju da razumeju opasnost koju Linux malver predstavlja i da usvoje neophodne bezbednosne mere za zaštitu svojih sistema. Ovo uključuje korišćenje jakih lozinki, ažuriranje softvera i oprez pri preuzimanju i pokretanju određenih datoteka.