IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Systémy Linux napadeny novým malwarem RedXOR

Linux malware target

Vědci objevili nový backdoor zaměřený na systémy Linux, který odkazuje na skupinu Winnti.

Backdoor se jmenuje RedXOR – částečně proto, že jeho schéma kódování síťových dat je založeno na šifrovacím algoritmu XOR, a částečně proto, že jeho vzorky byly nalezeny na starém vydání platformy Red Hat Enterprise Linux. Druhá skutečnost poskytuje vodítko, že RedXOR je využíván při cílených útocích na starší systémy Linux.

Malware má různé škodlivé schopnosti, od exfiltrace dat po tunelování síťového provozu do jiného cíle.

Vzorky byly detekovány po nahrání do VirusTotal ze dvou různých zdrojů v Indonésii a na Tchaj-wanu. Výzkumníci sdělili, že na základě toho je pravděpodobné, že malware ve svém prostředí objevily nejméně dvě entity.

RedXOR Malware
Po spuštění vytvoří RedXOR skrytou složku (nazvanou „.po1kitd.thumb“) uvnitř domovské složky, která se poté použije k ukládání souborů souvisejících s malwarem. Poté v této složce vytvoří skrytý soubor („.po1kitd-2a4D53“). Malware poté nainstaluje binární soubor do skryté složky (tzv. „.Po1kitd-update-k“) a nastaví perzistenci pomocí skriptů „init“.

“Malware ukládá konfiguraci šifrovanou v binárním souboru,” uvedli vědci ve středeční analýze. „Kromě IP adresy a portu command-and-control (C2) je možné jej také nakonfigurovat pro použití proxy. Konfigurace obsahuje heslo. Toto heslo používá malware k ověření na serveru C2. “

Po vytvoření této konfigurace malware poté komunikuje se serverem C2 přes soket TCP a může provádět různé různé příkazy. Mezi tyto příkazy patří: nahrávání, odebírání nebo otevírání souborů, provádění shell příkazů, tunelování síťového provozu a zápis obsahu do souborů.

Napojení do čínské skupiny
Vědci uvedli, že našli „klíčové podobnosti“ mezi RedXOR a dalším dříve hlášeným malwarem, který je spojen s Winnti: backdoor PWNLNX, botnet XOR.DDOS a botnet Groundhog. Skupina Winnti (aka APT41, Barium, Wicked Panda nebo Wicked Spider) je známá kybernetickou špionáží podporovanou státem a finanční kyberkriminalitou.

Mezi tyto podobnosti patří použití open source rootkitů jádra (používaných ke skrytí jejich procesů); používaný název funkce CheckLKM; síťové kódování pomocí XOR; a různé podobnosti v toku hlavních funkcí.

Také „celkový tok kódu, chování a schopnosti RedXOR jsou velmi podobné PWNLNX,“ uvedli vědci. “Oba mají funkce pro nahrávání a stahování souborů společně s běžícím shellem. Funkce tunelování sítí v obou rodinách se nazývá PortMap. “

Autoři malwaru sledují systémy Linux
Vědci uvedli, že v roce 2020 došlo k 40% nárůstu nových rodin malwaru Linux – nový rekord 56 kmenů malwaru. Kromě Winnti vyvíjejí skupiny jako APT28, APT29 a Carbanak Linuxovou verzi svého tradičního malwaru.

“Systémy Linux jsou pod neustálým útokem, protože Linux běží na většině veřejného cloudového pracovního vytížení,” uvedli vědci Intezer. “Průzkum provedený společností Sophos zjistil, že 70 procent organizací využívajících veřejný cloud k hostování dat nebo pracovních zátěží zaznamenalo v uplynulém roce bezpečnostní incident.”

Zdroj: threatpost.com