Mobile-Menu

WolfsBane-Malware Chinesische Hacker bauen Backdoors in Linux ein

Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

ESET Deutschland GmbH

Hinter einer neuen Linux-Backdoor namens „WolfsBane“ steckt ein Malware-Tool, das Dropper, Launcher und Hintertür in einem ist. Daneben verwendet WolfsBane ein modifiziertes Open Source Rootkit, um unerkannt zu bleiben.

Chinesische Hacker setzen auf Backdoors, um Linux-Systeme auszuspionieren.(Bild: Dall-E / KI-generiert)
Chinesische Hacker setzen auf Backdoors, um Linux-Systeme auszuspionieren.
(Bild: Dall-E / KI-generiert)

Je besser die Sicherheit von Windows wird, desto interessanter werden Linux-Systeme als Ziele für Cyberkriminelle. Diese Rückschlüsse ziehen die Forscher von Eset, nachdem sie zwei Backdoors entdeckt haben, mit deren Hilfe vorwiegend Systeme auf Linux-Servern angriffen wurden. Bei den bisher unbekannten Backdoors handelt es sich um „WolfsBane“ und „FireWood“. Sie dienen der Cyberspionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammeln.

„Der Trend, dass sich APT-Gruppen auf Linux-Malware konzentrieren, wird immer deutlicher. Wir glauben, dass dieser Wandel auf Verbesserungen bei der E-Mail- und Endpunktsicherheit von Windows zurückzuführen ist, wie etwa die weit verbreitete Verwendung von Endpoint Detection and Response Tools (EDR) und die Entscheidung von Microsoft, Visual Basic for Applications (VBA)-Makros standardmäßig zu deaktivieren. Infolgedessen erkunden Bedrohungsakteure neue Angriffswege und konzentrieren sich zunehmend auf die Ausnutzung von Schwachstellen in internetbasierten Systemen, von denen die meisten unter Linux laufen“, heißt es in der Analyse von Eset.

Äquivalent zu Windows-Malware Gelsevirine

Wie die Analysten herausfanden, ist der WolfsBande-Dropper das Linux-Äquivalent zum Dropper der Backdoor „Gelsevirine“, die für Angriffe auf Windows-Systeme entwickelt wurde. Beide Malware-Varianten werden der chinesischen Hackergruppe Gelsemium zugeordnet. Gelsemium ist eine Advanced-Persistent-Threat-Gruppe (APT), die seit 2014 aktiv ist und hauptsächlich Cyberspionage betreibt. Ihre Ziele sind Regierungsorganisationen und Organisationen, die kritische Infrastrukturen betreiben. Die Gruppe agiert vor allem in Asien, dem Nahen Osten und Europa. In einem Whitepaper haben die Eset-Forscher Gelsemium und Geslsevirine genauer analysiert.

Diese Gründe sprechen laut Eset dafür, dass WolfsBande die Linux-Version von Gelsevirine ist und ebenfalls Gelsemium zuzuordnen ist:

  • Sowohl WolfsBane als auch Gelsevirine laden eine eingebettete benutzerdefinierte Bibliothek für die Netzwerkkommunikation, wobei für jedes verwendete Kommunikationsprotokoll eine andere Bibliothek verwendet wird. Beide Hintertüren rufen „create_seesion export/symbol“ auf, um auf die Funktionen der Bibliothek zuzugreifen. Hier ist den Analysten in beiden Exports der Tippfehler „seesion“ statt „session“ aufgefallen.
  • Zudem verwenden beide Versionen denselben Mechanismus zur Ausführung von Befehlen, die von Command and Control Server empfangen werden.
  • Auch die Konfigurationsstruktur der Backdoors ist ähnlich. Die Analysten beobachteten, dass der in der Linux-Konfiguration gefundene Wert von „pluginkey“ derselbe ist wie in allen Gelsevirine-Beispielen, die im Jahr 2019 gefunden wurden.
  • Auch die von der Linux-Version verwendete Domäne „dsdsei[.]com“ wurde von Eset-Forschern als Indikator für einen Kompromiss (IoC) gekennzeichnet, der mit der Gelsemium APT-Gruppe in Verbindung steht.

Verschleierung mit Open Source Rootkit

WolfsBane erreicht seine Ziele mithilfe des Droppers „cron“. Dieser legt die als KDE-Desktopkomponente getarnte Launcher-Komponente ab. Eset erläutert, dass der Launcher dann die Malware-Komponente „udevd“ lädt, die wiederum drei verschlüsselte Bibliotheken lädt, die seine Kernfunktionalität und die Command-and-Control-Kommunikations­konfiguration enthalten. Um möglichst lange Zeit in ihrem Zielsystem unentdeckt zu bleiben, nutzt WolfsBane eine modifizierte Version des BEURK Userland Rootkits. Dass ein Malware-Tool alle drei Funktionen enthält – die eines Droppers, Launchers und einer Backdoor – ist besonders und deutet auf ein fortschrittliches Tool hin.

Die zweite Backdoor, die Eset entdeckt hat, ist FireWood. Sie konnten die Analysten nicht eindeutig Gelsemium zuordnen. Allerdings bringen sie sie mit der Backdoor „Project Wood“ in Verbindung, die ebenfalls von Gelsemium gentutz wurde, und konnten sie bis ins Jahr 2005 zurückverfolgen. Im Laufe der Jahre hat sich FireWood zu einer ausgefeilten Malware-Version entwickelt.

Eset betont, dass Unternehmen und Behörden ihre Sicherheitsmaßnahmen hinsichtlich neuer, fortschrittlicher Malware überdenken sollten. Zudem sollten sie verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme sowie regelmäßige Sicherheitsaudits setzen.

(ID:50245897)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte