Malware WolfsBane

Linux-Systeme im Visier: Chinesische Hacker zielen mit WolfsBane auf Server weltweit. Dabei nutzen sie ausgefeilte Techniken, um unerkannt zu bleiben.

Die Malware kombiniert Dropper, Launcher und Backdoor in einem und verschleiert sich mit einem modifizierten Rootkit. Was die Malware so gefährlich macht, wie die Bedrohung aussieht und wie Sie Ihre IT-Sicherheit stärken können, erfahren Sie bei uns.

WolfsBane – Gefahr für Linux-Systeme

Die Entdeckung der Linux-Backdoor „WolfsBane“ durch ESET-Forscher unterstreicht die zunehmende Bedrohung von Linux-Systemen durch fortschrittliche Cyberangriffe. Die Backdoor ist ein Paradebeispiel für die zunehmende Komplexität moderner Malware, denn sie vereint Dropper, Launcher und Backdoor in einem einzigen Tool – eine Kombination, die ihre Effektivität erheblich steigert.

Durch die Verschleierung mit einem modifizierten Open Source Rootkit bleibt sie außerdem nahezu unsichtbar für viele Sicherheitssysteme. Ist die Malware erst einmal im Netzwerk, können die Angreifer unbemerkt Daten sammeln, darunter Systeminformationen, sensible Anmeldedaten und Dateien, die direkt auf den Servern liegen. Diese neuen Techniken zeigen, dass Cyberkriminelle zunehmend in der Lage sind, auch anspruchsvolle Sicherheitslösungen zu umgehen.

In der Regel gelangen Backdoors über Schwachstellen in unsicheren Konfigurationen, Social Engineering oder kompromittierte Zugangsdaten auf einen Server. Tatsächlich spielen auch schlecht gewählte oder wiederverwendete Passwörter sowie mangelnde Sicherheitsupdates oft eine zentrale Rolle. Im Fall von WolfsBane handelt es sich um eine bekannte, aber nicht zeitnah gepatchte Sicherheitslücke in internetfähigen Linux-Servern. Dieses Schlupfloch nutzen die Angreifer aus, um unbemerkt und unautorisiert auf ein System zuzugreifen.

Cyberkriminelle haben Linux-Systeme im Visier. Ihr Ziel: sensibel Daten stehlen. Bild: Pexels/RealToughCandy.com

Linux: für Cyberkriminelle interessant

Die Malware WolfsBane soll ein Werk der chinesischen APT-Gruppe Gelsemium sein. Neben ihr haben sich auch andere APT-Gruppen auf Linux-Malware fokussiert. Und das hat einen ganz einfachen Grund: Zwar galt Linux lange als ein vergleichsweise sicheres Betriebssystem, doch das hat sich geändert. Denn die Sicherheit von Windows-Systemen steigt kontinuierlich an.

Und mit der zunehmenden Sicherheit von Windows-Systemen – etwa durch deaktivierte VBA-Makros (Visual Basic for Applications Makros) oder den Einsatz moderner EDR-Tools (Endpoint Detection and Response Tools) – hat sich der Fokus vieler Angreifer eben auf Linux verschoben.

Linux ist das Rückgrat vieler Server und internetbasierter Anwendungen, wodurch es zu einem besonders lohnenden Ziel wird. Schwachstellen in diesen Systemen werden zunehmend von APT-Gruppen wie Gelsemium ausgenutzt. Diese gezielte Verlagerung der Angriffe zeigt, wie wichtig es ist, Linux-Systeme genauso konsequent abzusichern wie Windows-Umgebungen.

WolfsBane: Verbindung zu Gelsevirine

Urheber von WolfsBane soll die chinesischen Hackergruppe Gelsemium sein. Sie ist seit fast einem Jahrzehnt aktiv und konzentriert sich auf Cyberspionage. Gelsemium greift vor allem Organisationen an, die kritische Infrastrukturen betreiben oder staatlich agieren.

Auffällig ist, dass die neue Malware deutliche Gemeinsamkeiten mit der Windows-Backdoor Gelsevirine aufweist, was auf eine gemeinsame Herkunft schließen lässt. Parallelen sind:

• benutzerdefinierte Bibliotheken für die Netzwerkkommunikation, wobei der Tippfehler „seesion“ statt „session“ in ihren Exporten identisch ist,
• derselbe Mechanismus zur Befehlsausführung und
• eine ähnliche Konfigurationsstruktur.

Zu guter Letzt stärkt die Verwendung der Domäne „dsdsei[.]com“ in WolfsBane laut ESET-Forschern die Verbindung zu Gelsemium. Alle Parallelen zusammen zeigen, wie gezielt und methodisch Hackergruppen wie Gelsemium vorgehen.

Hackergruppen gehen gezielt vor und entwickeln ihre Malware weiter, um größtmöglichen Schaden anzurichten. Bild: Pexels/Mati Mango

Verschleierung durch Rootkit

Eines der bemerkenswertesten Merkmale der Malware WolfsBane ist die Fähigkeit zur Tarnung.  Die Fähigkeit, unerkannt zu bleiben, macht sie gleichzeitig nämlich besonders gefährlich.

Über den Dropper „cron“ wird die Malware als vermeintlich harmlose KDE-Desktopkomponente (KDE steht für K Desktop Environment) abgelegt. Von dort aus wird ein Launcher aktiviert, der weitere Malware-Komponenten nachlädt. Die nachgeladenen Komponenten enthalten verschlüsselte Bibliotheken, die die Kernfunktionen und die Command-and-Control-Konfiguration bereitstellen. Das modifizierte BEURK Userland Rootkit verhindert, dass Sicherheitslösungen die Malware erkennen.

Diese Art der Verschleierung stellt selbst für erfahrene IT-Administratoren eine Herausforderung dar. Um dieser Gefahr Herr zu werden, sind modernste Sicherheitslösungen erforderlich – PC-SPEZIALIST ist für Sie da, wenn Sie Hilfe in Sachen IT-Sicherheit benötigen.

ESET entdeckt weitere Backdoor

Neben WolfsBane haben die Forscher von ESET eine zweite Backdoor namens FireWood entdeckt. Diese zeigt Verbindungen zur älteren Malware „Project Wood“, die bereits 2005 dokumentiert wurde. Im Laufe der Jahre hat sich FireWood weiterentwickelt und ist nun eine ausgefeilte Malware, die ähnliche Ziele verfolgt wie WolfsBane.

Obwohl die direkte Verbindung zur Hackergruppe Gelsemium nicht zweifelsfrei nachgewiesen werden konnte, ist die Ähnlichkeit zu anderen Angriffsmethoden der Gruppe auffällig. Ob die Verbindung besteht oder nicht – solche Entwicklungen verdeutlichen, dass Cyberkriminelle kontinuierlich an der Verbesserung ihrer Tools arbeiten, um Sicherheitsbarrieren zu überwinden.

IT-Sicherheit gleicht daher oftmals einem Katz-und-Maus-Spiel. Firmen und Betriebe – ganz gleich welcher Größe – müssen sich vielschichtig bestmöglich absichern, um die sensiblen Firmendaten zu schützen!

Eine Backdoor (engl. Hintertür ermöglicht es Hackern, unbefugt Zugang zum Computer oder Netzwerk zu bekommen. Bild: Pexels/Carmen Lorena Lopez Cabrera

Tipps für Unternehmen

Angesichts der großen Gefahr, die von Malware wie WolfsBane und der Verbesserung der Angriffsmethoden ausgehen, müssen Unternehmen ihre IT-Sicherheitsstrategien überdenken. Linux-Systeme, die häufig das Herzstück unternehmenskritischer Anwendungen bilden, sollten mit denselben Maßnahmen geschützt werden wie Windows-Systeme. Zu den dringend empfohlenen Maßnahmen gehören:

• Regelmäßige Updates und Patches: Schwachstellen können nur geschlossen werden, wenn Systeme aktuell gehalten werden.
• Intrusion-Detection-Systeme: Diese helfen dabei, Angriffe frühzeitig zu erkennen.
• Sicherheitsaudits: Regelmäßige Prüfungen der IT-Infrastruktur decken potenzielle Schwächen auf.
• Mitarbeiterschulungen: Sensibilisierte Mitarbeiter sind ein wesentlicher Bestandteil einer umfassenden Sicherheitsstrategie.

Von all diesen Maßnahmen haben Sie noch nicht gehört oder denken, dass Sie sie nicht benötigen? Kommen Sie gern zu PC-SPEZIALIST in Ihrer Nähe und lassen Sie sich beraten. Gern führen unsere IT-Dienstleister vor Ort einem IT-Sicherheitscheck Ihrer IT durch, um den Ist-Zustand zu protokollieren und Sie darauf aufbauend zu beraten.

Malware wie WolfsBane proaktiv begegnen

Die Entdeckung von WolfsBane und FireWood zeigt, wie dynamisch und raffiniert die Angriffe auf Linux-Systeme mittlerweile geworden sind. Die Zeiten, in denen Linux als sicher galt, sind definitiv vorbei. Wer Linux verwendet, sollte sich darauf einstellen, dass Sie Zahl der Angriffe steigen wird – und muss dementsprechend vorbereitet sein.

Vor allem Unternehmen müssen auf diese Entwicklungen reagieren, indem sie ihre Sicherheitslösungen kontinuierlich anpassen. Ein proaktiver Ansatz ist entscheidend, um den Bedrohungen durch fortschrittliche Malware wie WolfsBane begegnen zu können.

PC-SPEZIALIST bietet umfassende Lösungen, um Ihre IT-Infrastruktur gegen die neuesten Bedrohungen zu schützen. Ob Sicherheitsupdates, Netzwerkaudits oder Intrusion-Detection-Systeme – unsere Experten unterstützen Sie bei der Absicherung Ihrer Systeme. Kontaktieren Sie uns für weitere Informationen.

_______________________________________________

Quellen: welivesecurity, security-insider, Pexels/Product School (Headerbild)