RedXOR Malware

Una nuova campagna di attacco che i ricercatori di infosec ritengono essere ancora in corso sta prendendo di mira endpoint e server Linux. L'operazione distribuisce una minaccia mai vista prima chiamata malware RedXOR. Lo strumento minaccioso si integra nel sistema compromesso, crea un canale backdoor e offre un ampio controllo sul dispositivo all'attore della minaccia.

RedXOR presenta un design estremamente mirato che lo rende inadatto per attacchi contro un insieme più ampio di obiettivi. Invece, la minaccia viene creata per rimanere invisibile su poche vittime strategicamente selezionate, poiché deve essere compilata per la versione specifica del kernel in esecuzione sul sistema scelto. Finora, il punto di violazione iniziale per il malware RedXOR non è stato trovato, ma i ricercatori osservano che, una volta distribuita, la minaccia può eseguire un'ampia gamma di attività minacciose. Può sfogliare e manipolare il file system, recuperare file aggiuntivi, esfiltrare dati raccolti, eseguire shell web o eseguire il tunneling del traffico di rete verso una destinazione prescelta. Inoltre, RedXOR ha la capacità di aggiornarsi. Questa funzionalità consente agli hacker di installare nuove versioni se ritengono che quella attuale stia per essere rilevata aumentando le possibilità di evitare la scoperta.

Il malware RedXOR mostra alcune sorprendenti somiglianze con gli strumenti malware dell'APT (Advanced Persistence Threat) Winnti Group (APT 41) supportato dalla Cina. Le sovrapposizioni tra RedXOR e l'arsenale di Winnti includono il linguaggio di codifica per le minacce, i rootkit del kernel open-source impiegati e l'uso della crittografia XOR per la codifica dei dati. È del tutto possibile che un gruppo diverso abbia imitato i rootkit del kernel di origine techniopen e l'uso della crittografia XOR per la codifica dei dati. È del tutto possibile che un gruppo diverso abbia imitato le tecniche di Winnti. Tuttavia, i ricercatori di Intezer che hanno analizzato RedXOR, ritengono che un tale nuovo attore di minacce molto probabilmente avrà anche legami con il governo cinese.