WolfsBane su Linux: la Nuova Minaccia Silenziosa nel Mondo della Cybersecurity
Introduzione alla minaccia crescente: WolfsBane su Linux
Nell’ambito della sicurezza cybernetica, l’analisi di nuove minacce risulta cruciale per anticipare le mosse degli hacker e proteggere i sistemi vulnerabili. Recentemente, gli esperti di ESET hanno portato alla luce WolfsBane, una sofisticata backdoor per Linux, che mostra notevoli somiglianze con le tecniche precedentemente impiegate da un noto gruppo di hacker cinese, Gelsemium, su piattaforme Windows dal 2014.
Alla scoperta di WolfsBane
WolfsBane si distingue come un tipo di malware completo, che comprende funzionalità quali un dropper, un launcher e una backdoor. Quest’ultimo elemento è particolarmente insidioso, in quanto integra un rootkit open source modificato, progettato per evitare rilevazioni. Non è ancora chiara la dinamica dell’infezione iniziale, tuttavia, si presume che gli aggressori possano sfruttare vulnerabilità in applicazioni web per impiantare web shell e mantenere un accesso remoto persistente.
Il processo di infiltrazione di WolfsBane nel sistema avviene attraverso un dropper che maschera l’infezione sotto le spoglie di un componente desktop KDE. A seconda dei privilegi acquisiti, questo malware può disabilitare SELinux, manipolare i file di configurazione o creare file di servizio di sistema. Successivamente, il launcher procede al download di udevd, un componente dannoso che carica tre librerie criptate essenziali per l’attività della backdoor e la configurazione del comando e controllo (C&C).
Per occultare i processi, i file e il traffico di rete legati alla sua attività, viene utilizzata una versione adattata del rootkit userland open source, BEURK, che viene caricato tramite /etc/ld.so.preload.
Linux: la nuova frontiera del malware
Il sistema di mascheramento di WolfsBane include l’intercettazione di funzioni standard della libreria C, come open, stat, readdir e access. Queste intercettazioni filtrano qualsiasi dettaglio relativo a WolfsBane, pur invocando le funzioni originali. La funzione principale di questo malware è eseguire comandi dal server di controllo degli aggressori, un meccanismo simile al suo analogo per Windows, che permette una vasta gamma di operazioni compromettenti come manipolazioni di file e furto di dati.
Studi aggiuntivi rivelano la presenza di FireWood, un altro malware per Linux, strettamente correlato a Project Wood per Windows, indicando l’uso di strumenti simili da parte di diverse APT cinesi, non esclusivamente da Gelsemium.
Conclusioni
La crescente propensione degli APT a migrare verso piattaforme Linux è un trend preoccupante e riflette l’adattamento degli aggressori a un ambiente cybernetico più sicuro, ostile alle tecniche tradizionali. L’adozione di soluzioni come Endpoint Detection and Response (EDR) e le misure preventive come la disabilitazione delle macro VBA da parte di Microsoft costringono gli hacker a cercare nuovi vettori di attacco. Questo scenario richiede una vigilanza e una preparazione continuative da parte dei team di cybersecurity per proteggere efficacemente i sistemi e i dati.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.