Новое поколение Linux-руткитов: технический анализ WolfsBane и FireWood

Обнаружен новый бэкдор для Linux под названием WolfsBane, который, по мнению исследователей, представляет собой порт вредоносного ПО для Windows, ранее используемого хакерской группировкой Gelsemium из Китая. Анализ показал , что WolfsBane является комплексным инструментом, включающим дроппер, загрузчик и бэкдор, а также использует модифицированный open-source руткит для обхода обнаружения.

Кроме того, был выявлен ещё один образец вредоносного ПО для Linux под названием FireWood, который связан с аналогичным вредоносным ПО для Windows, известным как Project Wood. FireWood, вероятно, представляет собой общий инструмент, используемый несколькими китайскими APT-группами, а не эксклюзивную разработку Gelsemium.

Эксперты отмечают растущий интерес хакерских группировок к Linux-системам на фоне усиления защиты Windows. Такие изменения связаны с более широким использованием инструментов защиты конечных точек и отключением выполнения VBA-скриптов по умолчанию. Это заставляет злоумышленников искать новые пути атак, включая эксплуатацию уязвимостей в системах, работающих на Linux.

WolfsBane доставляется на целевые системы через дроппер под названием «cron», который маскируется под компонент рабочего стола KDE. В зависимости от уровня привилегий дроппер отключает SELinux, изменяет конфигурационные файлы системы или создаёт файлы службы для обеспечения постоянства. Затем запускается загрузчик, который активирует компонент вредоносного ПО, загружая три зашифрованные библиотеки с основной функциональностью и конфигурацией связи с управляющим сервером.

Для скрытности используется модифицированный руткит BEURK, который внедряется через файл «/etc/ld.so.preload» и обеспечивает сокрытие процессов, файлов и сетевого трафика. Основные задачи WolfsBane включают выполнение команд от управляющего сервера, что позволяет злоумышленникам выполнять операции с файлами, выводить данные и управлять системой.

FireWood, хоть и менее связан с Gelsemium, также представляет собой мощный инструмент для долгосрочных шпионских кампаний. Он предоставляет операторам возможности выполнения команд, операций с файлами, загрузки и выгрузки библиотек, а также скрытия процессов с помощью руткита. Для обеспечения автозапуска FireWood создаёт файл в папке «.config/autostart/» с командами, исполняемыми при старте системы.

Оба образца вредоносного ПО демонстрируют усилия APT-групп по расширению своих операций на Linux-платформах. Подробный перечень индикаторов компрометации, связанных с этими кампаниями, доступен на GitHub.