Ha surgido una nueva variante sofisticada de la puerta trasera de leña, dirigida a sistemas Linux con capacidades de evasión mejoradas y funcionalidad de ejecución de comandos simplificada.
Esta última iteración representa una evolución significativa de la familia de malware descubierta por primera vez por el equipo de investigación de ESET, que se ha relacionado con el linaje de malware “Project Wood” de larga duración que data de al menos 2005.
La puerta trasera de leña funciona como un troyano de acceso remoto (rata) diseñado específicamente para entornos de Linux, empleando módulos rootkit de nivel de núcleo y cifrado basado en el té para mantener sigiloso y establecer comunicaciones persistentes de comando y control.
Una vez implementado, generalmente a través de caparazones web plantados en escritorios de Linux comprometidos, el malware permite a los atacantes ejecutar comandos arbitrarios, cosechar información y credenciales del sistema sensible, y realizar operaciones de espionaje prolongadas y permanecer en gran parte sin detectar.
Investigadores intezer identificado Esta nueva variante con el hash 898A5BD86C5D99EB70088A90F1D8F90B03BD38C15A23200538D0601C888ACB6, observando cambios arquitecturales significativos de las versiones anteriores.
El malware mantiene conexiones de baja confianza con el grupo Gelsemium APT alineado por China, aunque estas superposiciones pueden reflejar los conjuntos de herramientas compartidos en múltiples actores de amenazas en lugar de una atribución definitiva.
La variante actualizada demuestra modificaciones notables en sus protocolos de inicialización y red.
A diferencia de las versiones anteriores que implementaron las puertas de permiso explícito a través de las llamadas Cuser :: ISSUC (), la nueva iteración elimina esta verificación temprana por completo, en lugar de diferir la validación de raíz o kernel hasta después de la demonización y el almacenamiento de PID.
Este cambio arquitectónico divide la función SavePIDAndCheckkernel () anterior en componentes discretos: una operación SavePID inicial (PID) seguida de funciones cModulecontrol :: Autoload () y checklkmload ().
Protocolo de comunicación mejorado y reconocimiento del sistema
La implementación de redes del malware representa una desviación significativa de los complejos mecanismos de tiempo de su predecesor.
Nueva implementación de evasión y comparación de funciones principales (fuente – Intezer)
Mientras que las variantes más antiguas emplearon algoritmos sofisticados aleatorizados de ventana de tiempo de tiempo con intervalos de baliza configurables y parámetros de retraso, la nueva versión adopta un enfoque simplificado utilizando una estructura de bucle continuo (verdadero).
Después del retraso de inicio configurado, el malware intenta persistentemente las conexiones C2 a través de las llamadas ConnectToSVR (), implementando intervalos breves de sueño tras la falla hasta el establecimiento de conexión exitoso o el vencimiento del temporizador.
Para el reconocimiento del sistema, la variante actualizada mejora las capacidades de detección del sistema operativo mediante la implementación de un mecanismo de retroceso.
Cuando el archivo primario /etc /problema no está disponible, el malware intenta automáticamente leer información de distribución de /etc/issue.net, manteniendo metodologías de análisis consistentes en ambas fuentes.
Esta redundancia garantiza huellas digitales confiables del sistema independientemente de las variaciones de configuración de destino.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
