中国黑客利用新型Wolfsbane恶意软件攻击Linux系统

关键要点

• 中国高级持续性威胁组织Gelsemium正利用新型Wolfsbane恶意软件攻击Linux系统。
• Wolfsbane后门预计是Gelsemium在Windows平台上恶意软件的端口版本。
• 利用“cron”投放器启动的攻击会禁用SELinux并修改用户配置文件。
• Gelsemium还使用FireWood后门，具备命令执行、文件操作和数据外泄功能。
• 随着终端检测和响应工具的广泛采用，Linux恶意软件的使用呈上升趋势。

根据的报道，中国高级持续性威胁组织Gelsemium正在利用新推出的Wolfsbane后门来攻击Linux系统。这种恶意软件被认为是Gelsemium针对Windows系统的一款恶意软件的移植版。

攻击从使用“cron”投放器开始，该工具通过隐藏的KDE桌面组件启动器传递恶意负载。此过程会禁用SELinux并修改用户的配置文件，然后激活具有文件操作、数据盗窃和系统操控命令支持的隐私恶意软件组件，ESET的分析显示。此外，Gelsemium还在针对Linux系统时利用FireWood后门，该后门具备命令执行、文件操作和数据外泄功能。不过，这种工具可能已被其他中国APT组织共享。ESET指出，终端检测和响应工具的普遍采用，以及微软默认禁用VisualBasic forApplications宏的做法，可能促使Linux恶意软件的使用增加。“因此，威胁行为者正在探索新的攻击渠道，愈发关注利用网络暴露系统中的漏洞，绝大多数这些系统运行在Linux上，”ESET补充道。

软件/工具 | 功能 | 描述
—|—|—
Wolfsbane | 后门 | 针对Linux的隐私恶意软件组件
FireWood | 命令执行、文件操作、数据外泄 | 用于攻击Linux的后门

相关链接 : – –

随着黑客技术的持续演进，安全意识尤为重要。组织们应持续加强安全防护，尤其是针对Linux环境。