RedXOR Malware

En ny angrebskampagne, som infosec-forskere mener fortsat er målrettet mod Linux-slutpunkter og servere. Operationen implementerer en aldrig før set trussel kaldet RedXOR malware. Det truende værktøj indlejrer sig i det kompromitterede system, skaber en bagdørkanal og giver bred kontrol over enheden til trusselsaktøren.

RedXOR udviser et ekstremt fokuseret design, der gør det uegnet til angreb mod et bredere sæt mål. I stedet oprettes truslen for at forblive usynlig for nogle få strategisk valgte ofre, da den skal kompileres til den specifikke kerneversion, der kører på det valgte system. Indtil videre er det oprindelige brudpunkt for RedXOR-malware ikke fundet, men forskere bemærker, at truslen, når den bliver brugt, kan udføre en lang række truende aktiviteter. Det kan gennemse og manipulere filsystemet, hente yderligere filer, exfiltrere indsamlede data, køre webskaller eller tunnelnetværkstrafik til en valgt destination. Desuden har RedXOR mulighed for at opdatere sig selv. Denne funktionalitet giver hackerne mulighed for at installere nye versioner, hvis de mener, at den nuværende er ved at blive opdaget, hvilket øger chancerne for at undgå opdagelse.

RedXOR Malware udviser nogle slående ligheder med malware-værktøjerne i den kinesisk-støttede APT (Advanced Persistence Threat) Winnti Group ( APT 41 ). Overlapperne mellem RedXOR og Winntis arsenal inkluderer kodningssproget for truslerne, de anvendte open source-kerner rootkits og brugen af XOR-chiffer til datakodning. Det er fuldt ud muligt for en anden gruppe at have efterlignet tekniopen-source kernel rootkits og brugen af XOR-chiffer til datakodning. Det er fuldt ud muligt for en anden gruppe at have efterlignet Winnti's teknikker. Forskerne på Intezer, der analyserede RedXOR, mener imidlertid, at en sådan ny trusselsaktør sandsynligvis også vil have bånd til den kinesiske regering.