Siber güvenlik şirketi ESET, Linux art kapısı WolfsBane’in birden fazla örneğini tespit ederek bunu Çin’e bağlı bir gelişmiş kalıcı tehdit (APT) grubu olan Gelsemium’a atfetti. Keşfedilen art kapıların ve araçların hedefinin, sistem bilgileri, kullanıcı kimlik bilgileri ve makul belge ve dizinler üzere hassas bilgileri amaç alan siber casusluk olduğu paylaşıldı.
ESET araştırmacıları, WolfsBane ismini verdikleri ve Çin kontaklı APT kümesi olan Gelsemium’a atfettikleri bir Linux art kapısının birden fazla örneğini tespit etti. Keşfedilen art kapıların ve araçların emeli, sistem bilgileri, kullanıcı kimlik bilgileri ve belli belge ve dizinler üzere hassas dataları gaye alan siber casusluk. Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış. Tespit edilmekten kaçınırken uzun periyodik istihbarat toplanmasını sağlıyor. ESET’in VirusTotal’da bulduğu örnekler Tayvan, Filipinler ve Singapur’dan yüklenmiş olup, muhtemelen güvenliği ihlal edilmiş bir sunucudaki olay müdahalesinden kaynaklanıyor. Gelsemium daha evvel Doğu Asya ve Orta Doğu’daki kuruluşları amaç almıştı. Çin’e bağlı bu tehdit aktörünün bilinen geçmişi 2014 yılına kadar uzanıyor ve şimdiye kadar Gelsemium’un Linux makûs gayeli yazılım kullandığına dair kamuya açık bir rapor bulunmuyordu.
ESET Research ayrıyeten, FireWood isimli diğer bir Linux art kapısı keşfetti. Lakin ESET, FireWood’u başka Gelsemium araçlarıyla kesin olarak ilişkilendiremiyor ve tahlil edilen arşivlerdeki varlığı rastlantısal olabilir. Bu nedenle ESET, FireWood’un Çin’e bağlı birden fazla APT kümesi ortasında paylaşılan bir araç olabileceğini göz önünde bulundurarak, FireWood’un Gelsemium’a ilişkin olabileceğini düşünüyor.
Tehdit aktörleri yeni atak yolları keşfediyor
Gelsemium’un son araç setini tahlil eden ESET araştırmacısı Viktor Šperka, Gelsemium’un faaliyetleriyle ilgili olabilecek öbür araçlar da keşfettik diyerek şunları söyledi: “VirusTotal’a yüklenen arşivlerde bulduğumuz en dikkat alımlı örnekler, Gelsemium tarafından kullanılan ve bilinen Windows berbat hedefli yazılımlarına benzeyen iki art kapı. WolfsBane, Gelsevirine’in Linux muadili iken FireWood, Project Wood ile irtibatlı. APT kümelerinin Linux ziyanlı yazılımlarına odaklanma eğilimi daha bariz hale geliyor. Bu değişimin, uç nokta algılama ve cevap araçlarının yaygın kullanımı ve Microsoft’un Visual Basic for Applications makrolarını varsayılan olarak devre dışı bırakma kararı üzere Windows e-posta ve uç nokta güvenliğindeki gelişmelerden kaynaklandığına inanıyoruz. Sonuç olarak, tehdit aktörleri, birden fazla Linux üzerinde çalışan internete dönük sistemlerdeki güvenlik açıklarından yararlanmaya giderek daha fazla odaklanarak yeni taarruz yolları keşfediyor.”
İlk art kapı olan WolfsBane, damlalık, başlatıcı ve art kapıdan oluşan kolay bir yükleme zincirinin bir kesimi. Tahlil edilen WolfsBane atak zincirinin bir modülü da bir işletim sisteminin kullanıcı alanında bulunan ve faaliyetlerini gizleyen bir yazılım çeşidi olan değiştirilmiş bir açık kaynak userland rootkit. İkinci art kapı olan FireWood, ESET araştırmacıları tarafından Project Wood ismi altında izlenen bir art kapı ile irtibatlı. ESET’in 2005 yılına kadar izini sürdüğü ve daha sofistike versiyonlara dönüştüğünü gözlemlediği art kapı, daha evvel TooHash Operasyonu’nda kullanılmıştı. ESET’in tahlil ettiği arşivlerde ayrıyeten ele geçirilmiş bir sunucuya yüklendikten sonra saldırgan tarafından uzaktan denetim edilmesine müsaade veren ve birçok webshells olan birkaç ek araç ve kolay yardımcı araçlar da bulunuyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı