RedXOR Malware
Een nieuwe aanvalscampagne die volgens infosec-onderzoekers nog steeds gaande is, is gericht op Linux-eindpunten en servers. De operatie maakt gebruik van een nooit eerder geziene dreiging genaamd RedXOR-malware. De bedreigende tool nestelt zich in het gecompromitteerde systeem, creëert een achterdeurtje en geeft de bedreigende actor brede controle over het apparaat.
RedXOR vertoont een extreem gefocust ontwerp dat het ongeschikt maakt voor aanvallen op een bredere reeks doelen. In plaats daarvan wordt de dreiging gecreëerd om onzichtbaar te blijven voor een paar strategisch geselecteerde slachtoffers, aangezien deze moet worden gecompileerd voor de specifieke kernelversie die op het gekozen systeem draait. Tot dusver is het eerste inbreukpunt voor RedXOR-malware niet gevonden, maar onderzoekers merken op dat de dreiging bij gebruik een breed scala aan bedreigende activiteiten kan uitvoeren. Het kan door het bestandssysteem bladeren en het manipuleren, extra bestanden ophalen, verzamelde gegevens exfiltreren, webshells uitvoeren of netwerkverkeer naar een gekozen bestemming tunnelen. Bovendien heeft RedXOR de mogelijkheid om zichzelf te updaten. Met deze functionaliteit kunnen hackers nieuwe versies installeren als ze denken dat de huidige op het punt staat te worden gedetecteerd, waardoor de kans dat ze ontdekking worden voorkomen, wordt vergroot.
De RedXOR Malware vertoont enkele opvallende gelijkenissen met de malwaretools van de door China gesteunde APT (Advanced Persistence Threat) Winnti Group (APT 41). De overlappingen tussen RedXOR en Winnti's arsenaal omvatten de coderingstaal voor de bedreigingen, de gebruikte open-source kernel-rootkits en het gebruik van de XOR-codering voor gegevenscodering. Het is heel goed mogelijk dat een andere groep de techniopen-source kernel rootkits heeft nagebootst, en het gebruik van de XOR-codering voor gegevenscodering. Het is heel goed mogelijk dat een andere groep de technieken van Winnti heeft nagebootst. De onderzoekers van Intezer die RedXOR analyseerden, zijn echter van mening dat een dergelijke nieuwe dreigingsacteur hoogstwaarschijnlijk ook banden zal hebben met de Chinese overheid.
