WolfsBane — это вредоносное ПО «все в одном», которое поразило операционную систему Linux и включает в себя дроппер, лаунчер и бэкдор.
WolfsBane, китайское вредоносное ПО, было обнаружено ESET и используется группой, известной как Gelsemium. Это вредоносное ПО указано как «все в одном», поскольку оно содержит все необходимое для выполнения своих задач, включая дроппер (называемый cron), который «сбрасывает» лаунчер, замаскированный под компонент рабочего стола KDE. Затем WolfsBane (при необходимости) отключает SELinux, создает необходимые файлы системных служб и/или изменяет конфигурацию для сохранения. Вредоносное ПО также включает в себя руткит Hider, который способен подключаться к таким функциям, как open, stat, readdir и access. Причина, по которой это помечено как «все в одном», заключается в том, что его успешность не зависит от работы других; все включено. Ключевая особенность WolfsBane — возможность предоставить контроль над скомпрометированной системой тем, кто ее развертывает.
ESET не уверена, как злоумышленники развертывают WolfsBane, но ей известно, что Gelsemium (активен с 2014 года) использовал ранее неизвестную уязвимость веб-приложения. На данный момент основными целями WolfsBane являются Восточная Азия и Ближний Восток.
Это также происходит в то же время, когда был обнаружен бэкдор (названный FireWood) в файле с именем usbdev.ko, который представляет собой модуль драйвера ядра, работающий как руткит для сокрытия процессов. Затем FireWood использует файл конфигурации kdeinit, зашифрованный однобайтовым ключом, и переименовывает свой процесс на основе значения в файле конфигурации.
Компания ESET заявила, что, хотя у них «нет конкретных доказательств относительно первоначального вектора доступа, наличия нескольких веб-оболочек… и тактик, методов и процедур (TTP), использовавшихся группой Gelsemium APT в последние годы, мы со средней степенью уверенности приходим к выводу, что злоумышленники использовали неизвестную уязвимость веб-приложения для получения доступа к серверу».
