به تازگی یک درب پشتی جدید لینوکس به نام “WolfsBane” کشف شده است که گمان میرود یک پورت بدافزار ویندوز است و توسط گروه هک چینی “Gelsemium” استفاده میشود.
به گزارش محققان امنیتی ESET که WolfsBane را تجزیه و تحلیل کردند، WolfsBane یک ابزار بدافزار کامل است که دارای دراپر، لانچر و درب پشتی است، در حالی که از یک روتکیت منبع باز وصله شده برای فرار از شناسایی استفاده میکند. محققان همچنین یک بدافزار لینوکس دیگر به نام “FireWood” را کشف کردند که به نظر میرسد به بدافزار ویندوز “Project Wood” مرتبط است.
WolfsBane از طریق یک دراپر به نام “cron” به اهداف معرفی میشود، که مولفه لانچر را به عنوان یک مولفه دسکتاپ KDE دراپ میکند. بسته به سطح دسترسی که با آن اجرا میشود، به غیرفعالسازی SELinux، ایجاد فایلهای سرویس سیستم یا تغییر فایلهای پیکربندی کاربر جهت ایجاد پایداری اقدام میکند.
https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine/
