Wolfsbane, il nuovo malware Linux del gruppo Gelsemium

I ricercatori di ESET hanno scoperto un nuovo malware Linux chiamato Wolfsbane, attribuito al gruppo di cyber spionaggio noto come Gelsemium. Questo malware rappresenta la controparte Linux di Gelsevirine, un altro strumento malevolo (backdoor) utilizzato dallo stesso gruppo per i sistemi Windows.

Origini e scoperta

Il gruppo APT (Advanced Persistent Threat) Gelsemium, allineato con la Cina, è noto per le sue operazioni di spionaggio informatico mirate, attive almeno dal 2014. Wolfsbane è stato identificato durante un’analisi approfondita delle campagne di attacco del gruppo, rivelando una sofisticata infrastruttura di malware progettata per colpire sistemi Linux.

La catena d’infezione

Wolfsbane è un malware modulare, il che significa che può essere esteso con ulteriori funzionalità attraverso moduli aggiuntivi. Alcune delle sue caratteristiche principali includono:

  • Persistenza: Utilizza tecniche avanzate per mantenere la sua presenza sui sistemi infetti, anche dopo riavvii o aggiornamenti del sistema.
  • Evasione: Implementa metodi per evitare il rilevamento da parte di software di sicurezza, come l’offuscamento del codice e l’uso di tecniche anti-debugging.
  • Comunicazione: Stabilisce connessioni sicure con i server di comando e controllo (C2) per ricevere istruzioni e inviare dati rubati.
Fonte ESET

La catena di infezione di WolfsBane inizia tramite un dropper “cron”, che rilascia il componente launcher camuffato da componente desktop KDE. Il launcher carica il componente anti-malware per la privacy, “udevd”, che carica tre librerie crittografate contenenti le sue funzionalità principali e la configurazione delle comunicazioni con il suo server di comando e controllo (C2).

Impatto e mitigazione

La scoperta di Wolfsbane sottolinea l’importanza di una sicurezza informatica proattiva e multilivello. Il malware è progettato per esfiltrare informazioni sensibili dai sistemi compromessi, rendendolo una minaccia significativa per le organizzazioni che utilizzano Linux. Per mitigare il rischio di infezione si raccomanda di:

  • Aggiornare regolarmente i sistemi operativi e le applicazioni.
  • Implementare soluzioni di sicurezza robuste che includano rilevamento delle intrusioni e monitoraggio del comportamento.
  • Formare il personale sulla sicurezza informatica per riconoscere e rispondere a potenziali minacce.

ESET ha scoperto anche un’altra backdoor Linux (FireWood controparte Linux di Project Wood) che potrebbe essere anch’essa collegata allo stesso gruppo Gelsemium e potrebbe consentire campagne di spionaggio versatili e a lungo termine, grazie alla capacità di effettuare operazioni sui file, eseguire comandi shell, caricare librerie ed esfiltrare dati. Un elenco completo degli IoC associati alle due nuove famiglie di malware Linux è disponibile in questo repository GitHub.

L’affermazione conclusiva del Malware Researcher di ESET Viktor Šperka punta i riflettori su di una tendenza sempre più estesa tra i gruppi APT: “La tendenza del malware a spostarsi verso i sistemi Linux sembra essere in aumento nell’ecosistema APT. Dal nostro punto di vista, questo sviluppo può essere attribuito a diversi progressi nella sicurezza di e-mail ed endpoint. L’adozione sempre crescente di soluzioni EDR, insieme alla strategia predefinita di Microsoft di disabilitare le macro VBA, sta portando a uno scenario in cui gli avversari sono costretti a cercare altre potenziali vie di attacco.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.