RedXOR Вредоносное ПО

Новая кампания атак, которая, по мнению исследователей информационной безопасности, все еще продолжается, нацелена на конечные точки и серверы Linux. Операция развертывает невиданную ранее угрозу под названием вредоносное ПО RedXOR. Угрожающий инструмент встраивается в скомпрометированную систему, создает бэкдор-канал и предоставляет злоумышленнику широкий контроль над устройством.

RedXOR демонстрирует чрезвычайно сфокусированный дизайн, что делает его непригодным для атак против более широкого набора целей. Вместо этого угроза создается, чтобы оставаться невидимой для нескольких стратегически выбранных жертв, поскольку ее необходимо скомпилировать для конкретной версии ядра, которая работает в выбранной системе. Пока что исходная точка взлома вредоносного ПО RedXOR не обнаружена, но исследователи отмечают, что при развертывании угроза может выполнять широкий спектр угрожающих действий. Он может просматривать файловую систему и управлять ею, извлекать дополнительные файлы, извлекать собранные данные, запускать веб-оболочки или туннелировать сетевой трафик в выбранное место назначения. Кроме того, RedXOR может обновляться самостоятельно. Эта функция позволяет хакерам устанавливать новые версии, если они считают, что текущая будет обнаружена, что увеличивает шансы избежать обнаружения.

RedXOR Malware демонстрирует поразительное сходство с вредоносными инструментами поддерживаемой Китаем APT (Advanced Persistence Threat) Winnti Group (APT 41). Перекрытия между RedXOR и арсеналом Winnti включают язык кодирования угроз, используемые руткиты ядра с открытым исходным кодом и использование шифра XOR для кодирования данных. Совершенно возможно, что другая группа имитирует руткиты ядра с открытым исходным кодом и использование шифра XOR для кодирования данных. Вполне возможно, что другая группа подражала методам Winnti. Однако исследователи из Intezer, проанализировавшие RedXOR, полагают, что такой новый злоумышленник, скорее всего, также будет иметь связи с правительством Китая.