【样本分享】WolfsBane: Gelsemium APT组织的Linux后门首次亮相

概要：

ESET研究人员揭示了WolfsBane，这是Gelsevirine后门在Linux平台上的对应版本，标志着Gelsemium高级持续威胁（APT）组织的重要里程碑。该组织以针对东亚和中东的网络间谍活动而闻名，现已将Linux系统纳入其攻击工具箱，显示出其战略的转变。此事件突显了网络安全领域中不断演变的威胁。

主要内容：

WolfsBane是Gelsemium首次被记录的Linux恶意软件，表明该组织自2014年以来的活动策略发生了显著变化。ESET指出，随着Windows安全性的提升，如广泛采用的端点检测与响应（EDR）工具和微软默认禁用VBA宏，攻击者不得不寻找新的攻击面，Linux系统因此成为主要目标。

WolfsBane的恶意软件由三部分组成：投放器、启动器和后门本身。投放器伪装成合法的系统工具（如cron），以规避检测。一旦部署，它通过利用系统服务和部署用户空间根套件来建立持久性，隐藏其存在。该后门与Gelsevirine有着紧密的联系，使用相同的命令执行机制和自定义库，显示出其代码库中的一致性。

此外，ESET还发现了与Project Wood恶意软件家族可能相关的FireWood后门。随着Linux系统在服务器环境中的主导地位，WolfsBane的出现表明Gelsemium APT组织在扩展其攻击面，利用隐蔽性和持久性，给Linux基础设施的组织带来了重大风险。