Главная страница » IOC
0
4 месяца
IOC

Gelsemium APT IOCs

security

Исследователи ESET обнаружили сложный набор бэкдоров и вредоносных программ для Linux, используемых APT-группой Gelsemium - злоумышленником, предположительно связанным с Китаем.

Gelsemium APT

Семейство Linux/Agent.WF включает в себя бэкдор WolfsBane, пусковую установку, дроппер и вспомогательный инструмент повышения привилегий, а также троянизированный SSH-клиент и различные веб-оболочки JSP. TWolfsBane, являющийся Linux-эквивалентом Windows-вредоноса Gelsevirine, содержит дроппер и пользовательский руткит WolfsBane Hider, позволяющий уклоняться от обнаружения. Бэкдор FireWood, Linux-вариант бэкдора Project Wood, приписывается Gelsemium с низкой степенью достоверности и может быть распространен среди нескольких китайских групп AP. Злоумышленники, вероятно, получили первоначальный доступ через неизвестную уязвимость веб-приложения, о чем свидетельствует наличие множества веб-оболочек на взломанных серверах в Тайване, Филиппинах и Сингапуре.

Бэкдор WolfsBane использует зашифрованные библиотеки для связи с C&C-сервером и может самостоятельно обновляться, а FireWood использует протокол Netlink и алгоритм шифрования TEA для связи с C&C-сервером и может выполнять ряд команд для утечки данных. В набор вредоносных программ также входят программа для кражи паролей SSH и инструмент повышения привилегий под названием «ccc», что подчеркивает возможности группы. C&C-серверы для бэкдоров WolfsBane и FireWood были отслежены на таких доменах, как dsdsei[.]com и asidomain[.]com. Злоумышленники используют различные методы MITRE ATT&CK, включая RC-скрипты и службы systemd для сохранения, захват динамического компоновщика, руткиты для уклонения и маскировку вредоносных программ под легитимные файлы. Эта кампания подчеркивает тенденцию, когда APT-группы все чаще нацеливаются на Linux-системы из-за усиленных мер безопасности на Windows-платформах.

Первый бэкдор, названный ESET WolfsBane, представляет собой Linux-эквивалент вредоносной программы Gelsevirine для Windows. WolfsBane имеет дроппер, лаунчер и бэкдор, а также использует руткит, чтобы избежать обнаружения. Второй бэкдор, получивший название FireWood, представляет собой Linux-версию Project Wood. ESET с низкой долей уверенности приписывает его авторство компании Gelsemium, поскольку вредоносное ПО может быть распространено среди нескольких китайских угрожающих групп.

Анализ, проведенный ESET, показал, что целью этих бэкдоров является кибершпионаж, направленный на получение ряда конфиденциальных данных, включая системную информацию, учетные данные пользователей, а также определенные файлы и каталоги. Кроме того, и WolfsBane, и FireWood обладают возможностями, позволяющими им поддерживать постоянный скрытый доступ к сетям жертв, что дает возможность длительного сбора разведданных.

Исследователи ESET отмечают, что группы, занимающиеся постоянными угрозами (APT), все больше внимания уделяют разработке вредоносного ПО для Linux. Эта тенденция, по-видимому, обусловлена развитием мер безопасности в Windows, таких как растущее развертывание средств обнаружения и реагирования на конечные точки (EDR) и отключение по умолчанию макросов Visual Basic for Applications (VBA) компанией Microsoft. В результате злоумышленники переключают свои стратегии на использование уязвимостей в системах, выходящих в Интернет, большинство из которых работают на базе Linux.

Indicators of Compromise

Domains

  • asidomain.com
  • dsdsei.com

SHA1

  • 0ab53321bb9699d354a032259423175c08fec1a4
  • 0fef89711da11c550d3914debc0e663f5d2fb86c
  • 209c4994a42af7832f526e09238fb55d5aab34e5
  • 238c8e8eb7a732d85d8a7f7ca40b261d8ae4183d
  • 44947903b2bc760ac2e736b25574be33bf7af40b
  • 600c59733444bc8a5f71d41365368f3002465b10
  • 72db8d1e3472150c1be93b68f53f091aacc2234d
  • 843d6b0054d066845628e2d5db95201b20e12cd2
  • 8532eca04c0f58172d80d8a446ae33907d509377
  • 85528eac10090ae743bcf102b4ae7007b6468255
  • 9f7790524bd759373ab57ee2aafa6f5d8bcb918a
  • b2a14e77c96640914399e5f46e1dec279e7b940f
  • b3dfb40336c2f17ec74051844ffaf65ddb874cfc
  • bed9efb245fac8cfff8333ae37ad78ccfb7e2198
  • cdbbb6617d8937d17a1a9ef12750bee1cddf4562
  • f1df0c5a74c9885cb5934e3eee5e7d3cf4d291c0
  • f43d4d46bae9ad963c2eb05ef43e90aa3a5d88e3
  • fd601a54bc622c041df0242662964a7ed31c6b9c
Комментарии: 0
Похожие записи
0
12 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
12 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
2 дня
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.