Boletín de ciberseguridad – Malware WolfsBane
Se ha detectado un nuevo malware para sistemas operativos Linux que funciona como un backdoor (programa que permite el acceso remoto a un equipo sin conocimiento del usuario). [2]
El pasado 21 de noviembre de 2024, el equipo de investigación de ESET publicó un artículo en el que se describía un malware llamado WolfsBane. Este malware actúa como una puerta trasera y es específico para sistemas operativos Linux. Dicho malware se ha vinculado al grupo chino Gelsemium Advanced Persistent Threat (APT), que opera desde 2014. Esta vinculación tiene un alto grado de confiabilidad. [2]
WolfsBane comparte muchas similitudes con otro malware llamado Gelsivirine, el cual también es un backdoor o de puerta trasera y forma parte del arsenal del grupo Gelsemium APT. [2]
La primera similitud entre ambos malwares es la utilización de librerías para la conexión de red. Ambos malwares emplean librerías modificadas para establecer comunicación. Se puede observar que, en ambas muestras, la manera de invocar las librerías ("create_seesion") y el tipado de "seesion" son idénticos en ambas versiones. [2]
Imagen de la muestra del malware WolfsBane (Izquierda) y Gelsivirine (Derecha) [2]
El mecanismo de ejecución de ambos malwares es idéntico para ejecutar los comandos de C&C (comando y control) del servidor. Ambos backdoors crean una tabla con hashes que corresponden y apuntan a una función que maneja el comando. [2]
Imagen de la creación de hashes en ambos malwares. [2]
La configuración de la estructura de ambas muestras es idéntica, con pocas variaciones entre las versiones de Linux y Windows, pero los nombres son consistentes. [1]
El uso del dominio “dsdsei.com” es un indicador de compromiso asociado al grupo Gelsemium APT. [1]
WolfsBane es introducido en el sistema por medio de un dropper (programa que descarga malware sin el conocimiento del usuario) llamado “cron”, el cual descarga el launcher del malware disfrazado como un componente del sistema llamado KDE. Dependiendo de los privilegios disponibles, el launcher deshabilita SELinux, crea archivos de servicios del sistema o modifica configuraciones para establecer persistencia. [1]
Por último, se ejecuta una versión modificada del rootkit BEURK para que ayude a esconder los procesos, archivos, tráfico de red y actividades de WolfsBane. [1]
Taxnomia MITRE ATT&CK:
|
Tactica |
ID |
Nombre |
|
Resource Development |
T1583.001 |
Acquire Infrastructure: Domains |
|
T1583.004 |
Acquire Infrastructure: Server |
|
|
T1587.001 |
Develop Capabilities: Malware |
|
|
Execution |
T1059.004 |
Command-Line Interface: Unix Shell |
|
Persistence |
T1037.004 |
Boot or Logon Initialization Scripts: RC Scripts |
|
T1543.002 |
Create or Modify System Process: Systemd Service |
|
|
T1574.006 |
Hijack Execution Flow: Dynamic Linker Hijacking |
|
|
T1547.013 |
Boot or Logon Autostart Execution: XDG Autostart Entries |
|
|
Privilege Escalation |
T1546.004 |
Event Triggered Execution: .bash_profile and .bashrc |
|
T1548.001 |
Abuse Elevation Control Mechanism: Setuid and Setgid |
|
|
Defense Evasion |
T1070.004 |
Indicator Removal: File Deletion |
|
T1070.006 |
Indicator Removal: Timestomp |
|
|
T1070.009 |
Indicator Removal: Clear Persistence |
|
|
T1564.001 |
Hide Artifacts: Hidden Files and Directories |
|
|
T1222.002 |
File Permissions Modification: Linux and Mac File and Directory Permissions Modification |
|
|
T1027.009 |
Obfuscated Files or Information: Embedded Payloads |
|
|
T1014 |
Rootkit |
|
|
T1036.005 |
Masquerading: Match Legitimate Name or Location |
|
|
Discovery |
T1082 |
System Information Discovery |
|
T1083 |
File and Directory Discovery |
|
|
Collection |
T1056 |
Input Capture |
|
Exfiltration |
T1041 |
Exfiltration Over C2 Channel |
Indicadores de Compromiso:
|
Tipo |
IOC |
|
SHA-1 |
0FEF89711DA11C550D3914DEBC0E663F5D2FB86C |
|
SHA-1 |
44947903B2BC760AC2E736B25574BE33BF7AF40B |
|
SHA-1 |
0AB53321BB9699D354A032259423175C08FEC1A4 |
|
SHA-1 |
8532ECA04C0F58172D80D8A446AE33907D509377 |
|
SHA-1 |
B2A14E77C96640914399E5F46E1DEC279E7B940F |
|
SHA-1 |
209C4994A42AF7832F526E09238FB55D5AAB34E5 |
|
SHA-1 |
F43D4D46BAE9AD963C2EB05EF43E90AA3A5D88E3 |
|
SHA-1 |
FD601A54BC622C041DF0242662964A7ED31C6B9C |
|
SHA-1 |
9F7790524BD759373AB57EE2AAFA6F5D8BCB918A |
|
SHA-1 |
238C8E8EB7A732D85D8A7F7CA40B261D8AE4183D |
|
SHA-1 |
F1DF0C5A74C9885CB5934E3EEE5E7D3CF4D291C0 |
|
SHA-1 |
B3DFB40336C2F17EC74051844FFAF65DDB874CFC |
|
SHA-1 |
85528EAC10090AE743BCF102B4AE7007B6468255 |
|
SHA-1 |
CDBBB6617D8937D17A1A9EF12750BEE1CDDF4562 |
|
SHA-1 |
843D6B0054D066845628E2D5DB95201B20E12CD2 |
|
SHA-1 |
BED9EFB245FAC8CFFF8333AE37AD78CCFB7E2198 |
|
SHA-1 |
600C59733444BC8A5F71D41365368F3002465B10 |
|
SHA-1 |
72DB8D1E3472150C1BE93B68F53F091AACC2234D |
|
Dominio |
dsdsei[.]com |
|
Dominio |
asidomain[.]com |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Toulas, B. (2024, Noviembre 21). Chinese hackers target Linux with new WolfsBane malware. Recuperado el 22 de noviembre del 2024 en: https://www.bleepingcomputer.com/news/security/chinese-gelsemium-hackers-use-new-wolfsbane-linux-malware/
-
Šperka, V. (2024, Noviembre 21). Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine. Recuperado el 22 de noviembre del 2024 en: https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine/
