中国黑客利用新型Wolfsbane恶意软件攻击Linux系统

关键要点

中国高级持续性威胁组织Gelsemium正利用新型Wolfsbane恶意软件攻击Linux系统。Wolfsbane后门预计是Gelsemium在Windows平台上恶意软件的端口版本。利用“cron”投放器启动的攻击会禁用SELinux并修改用户配置文件。Gelsemium还使用FireWood后门，具备命令执行、文件操作和数据外泄功能。随着终端检测和响应工具的广泛采用，Linux恶意软件的使用呈上升趋势。

根据BleepingComputer的报道，中国高级持续性威胁组织Gelsemium正在利用新推出的Wolfsbane后门来攻击Linux系统。这种恶意软件被认为是Gelsemium针对Windows系统的一款恶意软件的移植版。

攻击从使用“cron”投放器开始，该工具通过隐藏的KDE桌面组件启动器传递恶意负载。此过程会禁用SELinux并修改用户的配置文件，然后激活具有文件操作、数据盗窃和系统操控命令支持的隐私恶意软件组件，ESET的分析显示。此外，Gelsemium还在针对Linux系统时利用FireWood后门，该后门具备命令执行、文件操作和数据外泄功能。不过，这种工具可能已被其他中国APT组织共享。ESET指出，终端检测和响应工具的普遍采用，以及微软默认禁用Visual Basic for Applications宏的做法，可能促使Linux恶意软件的使用增加。“因此，威胁行为者正在探索新的攻击渠道，愈发关注利用网络暴露系统中的漏洞，绝大多数这些系统运行在Linux上，”ESET补充道。

加速器试用1天软件/工具功能描述Wolfsbane后门针对Linux的隐私恶意软件组件FireWood命令执行、文件操作、数据外泄用于攻击Linux的后门

相关链接关于Gelsemium组织的详细分析 Linux安全最佳实践

《WolfsBane 后门在针对 Linux 系统的中国攻击中被利用》