Wolfsbane

Di balik layar kegelapan dunia maya, kelompok siber Advanced Persistent Threat (APT) Gelsemium diketahui menggunakan backdoor Linux baru bernama Wolfsbane.

Pengembang Gelsemium yang berasal dari Tiongkok menyiapkan senjata baru mereka ini ditujukan untuk negara-negara di Asia Timur dan Asia Tenggara.

Hal itu berdasarkan temuan dari firma keamanan siber ESET berdasarkan beberapa sampel Linux yang diunggah ke platform VirusTotal dari Taiwan, Filipina, dan Singapura pada Maret 2023.

WolfsBane dinilai sebagai versi Linux dari backdoor Gelsevirine milik aktor ancaman tersebut, malware Windows yang telah digunakan sejak tahun 2014.

ESET juga menemukan implan lain yang sebelumnya tidak terdokumentasi bernama FireWood yang terhubung ke malware yang dikenal sebagai Project Wood.

FireWood telah dikaitkan dengan Gelsemium dengan keyakinan rendah, mengingat kemungkinan bahwa itu dapat dibagikan oleh beberapa kru peretas yang terkait dengan Tiongkok.

“Tujuan dari backdoor dan alat yang ditemukan adalah spionase siber yang menargetkan data sensitif seperti informasi sistem, kredensial pengguna, dan file serta direktori tertentu,” kata peneliti ESET Viktor Šperka.

APT Gelsemium dari Tiongkok

Alat-alat ini dirancang untuk mempertahankan akses persisten dan menjalankan perintah secara diam-diam, yang memungkinkan pengumpulan intelijen dalam jangka panjang sambil menghindari deteksi.

Jalur akses awal yang digunakan oleh pelaku ancaman tidak diketahui, meskipun diduga bahwa pelaku mengeksploitasi kerentanan aplikasi web yang tidak diketahui untuk menyusupkan web shell.

Tujuan dari menyusupkan web shell adalah untuk akses jarak jauh persisten, menggunakannya untuk mengirimkan backdoor WolfsBane melalui dropper.

Selain menggunakan rootkit pengguna open source BEURK yang dimodifikasi untuk menyembunyikan aktivitasnya di host Linux, ia mampu menjalankan perintah yang diterima dari server yang dikendalikan penyerang.

Dalam hal yang sama, FireWood menggunakan modul rootkit driver kernel yang disebut usbdev.ko untuk menyembunyikan proses, dan menjalankan berbagai perintah yang dikeluarkan oleh server.

Penggunaan WolfsBane dan FireWood merupakan penggunaan malware Linux pertama yang didokumentasikan oleh Gelsemium, yang menandakan perluasan fokus penargetan.

“Tren malware yang beralih ke sistem Linux tampaknya meningkat dalam ekosistem APT,” kata Šperka. “Dari sudut pandang kami, perkembangan ini dapat dikaitkan dengan beberapa kemajuan dalam keamanan email dan titik akhir.”

“Peningkatan adopsi solusi EDR, bersama dengan strategi default Microsoft untuk menonaktifkan makro VBA, mengarah pada skenario di mana musuh dipaksa mencari jalur serangan potensial lainnya.”

Konklusi

Laporan ini menjelaskan perangkat malware Linux dan hubungannya dengan sampel malware Windows yang digunakan oleh kelompok APT Gelsemium.

ESET berfokus pada kemampuan backdoor WolfsBane dan FireWood, dan menganalisis rantai eksekusi WolfsBane dan pemanfaatannya terhadap rootkit userland.

Ini adalah laporan publik pertama yang mendokumentasikan penggunaan perangkat lunak perusak Linux oleh Gelsemium, yang menandai perubahan penting dalam strategi operasional mereka.

Tren peralihan perangkat lunak perusak ke sistem Linux tampaknya meningkat dalam ekosistem APT. Dari sudut pandang kami, perkembangan ini dapat dikaitkan dengan beberapa kemajuan dalam keamanan email dan titik akhir.

Penerapan solusi EDR yang terus meningkat, bersama dengan strategi default Microsoft untuk menonaktifkan makro VBA, mengarah pada skenario di mana musuh dipaksa untuk mencari jalur serangan potensial lainnya.

Akibatnya, kerentanan yang ada dalam infrastruktur yang terhubung ke internet, khususnya sistem yang berbasis Linux, menjadi semakin menjadi sasaran. Ini berarti bahwa sistem Linux ini menjadi target pilihan baru bagi para musuh ini.

Sampai disini dulu materi bahasan siber kita kali ini mengenai Wofsbane, semoga informasi tersebut dapat menambah wawasan dan bermanfaat.

Baca artikel lainnya: