Siber güvenlik şirketi ESET, Linux art kapısı WolfsBane’in birden fazla örneğini tespit ederek bunu Çin’e bağlı bir gelişmiş kalıcı tehdit (APT) grubu olan Gelsemium’a atfetti. Keşfedilen art kapıların ve araçların hedefinin, sistem bilgileri, kullanıcı kimlik bilgileri ve belli belge ve dizinler üzere hassas dataları amaç alan siber casusluk olduğu paylaşıldı.
ESET araştırmacıları, WolfsBane ismini verdikleri ve Çin kontaklı APT kümesi olan Gelsemium’a atfettikleri bir Linux art kapısının birden fazla örneğini tespit etti. Keşfedilen art kapıların ve araçların gayesi, sistem bilgileri, kullanıcı kimlik bilgileri ve muhakkak evrak ve dizinler üzere hassas dataları amaç alan siber casusluk. Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış. Tespit edilmekten kaçınırken uzun müddetli istihbarat toplanmasını sağlıyor. ESET’in VirusTotal’da bulduğu örnekler Tayvan, Filipinler ve Singapur’dan yüklenmiş olup, muhtemelen güvenliği ihlal edilmiş bir sunucudaki olay müdahalesinden kaynaklanıyor. Gelsemium daha evvel Doğu Asya ve Orta Doğu’daki kuruluşları gaye almıştı. Çin’e bağlı bu tehdit aktörünün bilinen geçmişi 2014 yılına kadar uzanıyor ve şimdiye kadar Gelsemium’un Linux berbat gayeli yazılım kullandığına dair kamuya açık bir rapor bulunmuyordu.
ESET Research ayrıyeten, FireWood isimli öbür bir Linux art kapısı keşfetti. Fakat ESET, FireWood’u öteki Gelsemium araçlarıyla kesin olarak ilişkilendiremiyor ve tahlil edilen arşivlerdeki varlığı rastlantısal olabilir. Bu nedenle ESET, FireWood’un Çin’e bağlı birden fazla APT kümesi ortasında paylaşılan bir araç olabileceğini göz önünde bulundurarak, FireWood’un Gelsemium’a ilişkin olabileceğini düşünüyor.
Tehdit aktörleri yeni akın yolları keşfediyor
Gelsemium’un son araç setini tahlil eden ESET araştırmacısı Viktor Šperka, Gelsemium’un faaliyetleriyle ilgili olabilecek öbür araçlar da keşfettik diyerek şunları söyledi: “VirusTotal’a yüklenen arşivlerde bulduğumuz en dikkat alımlı örnekler, Gelsemium tarafından kullanılan ve bilinen Windows makus gayeli yazılımlarına benzeyen iki art kapı. WolfsBane, Gelsevirine’in Linux muadili iken FireWood, Project Wood ile irtibatlı. APT kümelerinin Linux ziyanlı yazılımlarına odaklanma eğilimi daha bariz hale geliyor. Bu değişimin, uç nokta algılama ve karşılık araçlarının yaygın kullanımı ve Microsoft’un Visual Basic for Applications makrolarını varsayılan olarak devre dışı bırakma kararı üzere Windows e-posta ve uç nokta güvenliğindeki gelişmelerden kaynaklandığına inanıyoruz. Sonuç olarak, tehdit aktörleri, birçok Linux üzerinde çalışan internete dönük sistemlerdeki güvenlik açıklarından yararlanmaya giderek daha fazla odaklanarak yeni atak yolları keşfediyor.”
İlk art kapı olan WolfsBane, damlalık, başlatıcı ve art kapıdan oluşan kolay bir yükleme zincirinin bir kesimi. Tahlil edilen WolfsBane akın zincirinin bir modülü da bir işletim sisteminin kullanıcı alanında bulunan ve faaliyetlerini gizleyen bir yazılım tipi olan değiştirilmiş bir açık kaynak userland rootkit. İkinci art kapı olan FireWood, ESET araştırmacıları tarafından Project Wood ismi altında izlenen bir art kapı ile irtibatlı. ESET’in 2005 yılına kadar izini sürdüğü ve daha sofistike versiyonlara dönüştüğünü gözlemlediği art kapı, daha evvel TooHash Operasyonu’nda kullanılmıştı. ESET’in tahlil ettiği arşivlerde ayrıyeten ele geçirilmiş bir sunucuya yüklendikten sonra saldırgan tarafından uzaktan denetim edilmesine müsaade veren ve birden fazla webshells olan birkaç ek araç ve kolay yardımcı araçlar da bulunuyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı