Campagna di Cyber-spionaggio Utilizza Nuovo Malware Linux

ESET svela il malware Linux collegato al gruppo cinese Gelsemium, con i backdoor WolfsBane e FireWood che prendono di mira dati sensibili per la cyber-spionaggio.

ESET I ricercatori di cybersecurity hanno scoperto un nuovo tipo di malware progettato per i sistemi Linux, chiamato “WolfsBane”, che ritengono sia collegato a un gruppo di hacker cinesi chiamato Gelsemium.

Questo gruppo, noto per i suoi attacchi sofisticati, è attivo dal 2014, prendendo di mira principalmente i sistemi Windows. Questo nuovo malware segna la prima volta che Gelsemium è stato collegato a Linux, una piattaforma sempre più presa di mira dagli hacker, afferma ESET.

ESET riferisce che il backdoor WolfsBane è simile a un malware precedente, Gelsevirine, utilizzato da Gelsemium per ottenere accesso non autorizzato ai sistemi.

Entrambi gli strumenti condividono caratteristiche chiave, incluso il modo in cui comunicano con i server controllati dagli hacker, eseguono comandi e nascondono la loro presenza all’interno dei sistemi infetti.

WolfsBane utilizza una libreria specializzata e metodi di crittografia per evitare il rilevamento, consentendo agli hacker di monitorare il sistema della vittima e rubare informazioni sensibili per un periodo prolungato senza essere notati, afferma ESET.

Accanto a WolfsBane, i ricercatori hanno anche scoperto un altro backdoor chiamato “FireWood”, che potrebbe essere collegato a Gelsemium, sebbene il collegamento sia meno certo.

FireWood presenta similitudini con il malware utilizzato in passati attacchi informatici dal gruppo, inclusa la sua struttura e i metodi di crittografia. Tuttavia, a causa della possibilità di condivisione degli strumenti tra diversi gruppi di hacker, il legame con Gelsemium non è confermato, afferma ESET.

ESET spiega che questi strumenti di malware sono progettati per la cyber-spionaggio, permettendo agli aggressori di rubare dati di sistema, credenziali e file.

Il passaggio verso il malware Linux avviene mentre gli hacker cercano nuovi vettori di attacco a seguito dell’aumento delle misure di sicurezza sui sistemi Windows, come strumenti di rilevamento degli endpoint e modifiche alla sicurezza delle email di Microsoft. ESET sottolinea che molti sistemi rivolti a Internet funzionano su Linux, rendendoli un obiettivo attraente per i cybercriminali.

Il malware è stato trovato in archivi caricati su VirusTotal, un servizio utilizzato dagli esperti di sicurezza per analizzare file sospetti, e sembra essere stato distribuito su server in Taiwan, nelle Filippine e a Singapore. L’indagine suggerisce che gli hacker potrebbero aver ottenuto l’accesso a questi server attraverso vulnerabilità nelle applicazioni web.

Mentre i ricercatori di ESET continuano ad analizzare il malware, hanno confermato che gli aggressori utilizzano tecniche avanzate per mantenere un accesso a lungo termine ai sistemi compromessi, rendendoli difficili da rilevare e rimuovere.

La scoperta di WolfsBane e FireWood evidenzia la crescente minaccia degli attacchi informatici mirati a Linux, sottolineando la necessità di misure di sicurezza più forti su tutte le piattaforme.