Forscher enthüllen neue Linux-Malware, die mit chinesischen Hackern in Verbindung gebracht wird

Cyber Security News

Cybersecurity-Forscher haben am Mittwoch eine neue, ausgeklügelte Backdoor für Linux-Endpunkte und -Server entdeckt, die vermutlich von chinesischen Nationalisten stammt.

Die von Intezer als “RedXOR” bezeichnete Backdoor tarnt sich als Polkit-Daemon und weist Ähnlichkeiten mit Malware auf, die zuvor mit der Bedrohungsgruppe Winnti Umbrella (oder Axiom) in Verbindung gebracht wurde, wie PWNLNX, XOR.DDOS und Groundhog.

Der Name RedXOR rührt daher, dass die Malware ihre Netzwerkdaten mit einem auf XOR basierenden Schema verschlüsselt und mit einem veralteten GCC-Compiler auf einer alten Version von Red Hat Enterprise Linux kompiliert wurde, was darauf hindeutet, dass die Malware bei gezielten Angriffen auf ältere Linux-Systeme eingesetzt wird.

Intezer sagte, dass zwei Samples der Malware um den 23. und 24. Februar aus Indonesien und Taiwan hochgeladen wurden, beides Länder, die dafür bekannt sind, dass sie von Bedrohungsgruppen mit Sitz in China ins Visier genommen werden.

Abgesehen von den Überschneidungen in Bezug auf den Gesamtablauf und die Funktionalitäten sowie die Verwendung von XOR-Kodierung zwischen RedXOR und PWNLNX hat die Hintertür die Form einer nicht entpackten 64-Bit-ELF-Datei (“po1kitd-update-k”) mit einem typisierten Namen (“po1kitd” vs. “polkitd”), die bei der Ausführung ein verstecktes Verzeichnis zum Speichern von Dateien im Zusammenhang mit der Malware erstellt, bevor sie sich auf dem Computer installiert.

[Blocked Image: https://thehackernews.com/images/-K8y1bBD8jqs/YEjzaovn5tI/AAAAAAAACAA/GNaHMnX-Os876R2BuVAslN8vcLfBo0F4gCLcBGAsYHQ/s0/hacking.jpg]

Polkit (geb. PolicyKit) ist ein Toolkit zur Definition und Handhabung von Berechtigungen und wird verwendet, um unprivilegierten Prozessen die Kommunikation mit privilegierten Prozessen zu ermöglichen.

Zusätzlich verfügt die Malware über eine verschlüsselte Konfiguration, die die Command-and-Control-(C2-)IP-Adresse und den Port sowie das Kennwort enthält, das sie zur Authentifizierung gegenüber dem C2-Server benötigt, bevor sie eine Verbindung über einen TCP-Socket herstellt.

Darüber hinaus ist die Kommunikation nicht nur als harmloser HTTP-Verkehr getarnt, sondern wird auch in beide Richtungen mit einem XOR-Verschlüsselungsschema verschlüsselt, dessen Ergebnisse entschlüsselt werden, um den genauen auszuführenden Befehl zu verraten.

RedXOR unterstützt eine Vielzahl von Funktionen, darunter das Sammeln von Systeminformationen (MAC-Adresse, Benutzername, Distribution, Taktrate, Kernel-Version usw.), das Ausführen von Dateioperationen, das Ausführen von Befehlen mit Systemprivilegien, das Ausführen beliebiger Shell-Befehle und sogar Optionen zum Fern-Update der Malware.

Benutzer, die Opfer von RedXOR werden, können Schutzmaßnahmen ergreifen, indem sie den Prozess beenden und alle Dateien entfernen, die mit der Malware in Verbindung stehen.

Die jüngste Entwicklung deutet eher darauf hin, dass die Zahl aktiver Kampagnen, die auf Linux-Systeme abzielen, zunimmt. Dies ist zum Teil auf die weit verbreitete Nutzung des Betriebssystems für IoT-Geräte, Webserver und Cloud-Server zurückzuführen, was Angreifer dazu veranlasst, ihre vorhandenen Windows-Tools auf Linux zu portieren oder neue Tools zu entwickeln, die beide Plattformen unterstützen.

“Einige der prominentesten nationalstaatlichen Akteure nehmen offensive Linux-Funktionen in ihr Arsenal auf, und es ist zu erwarten, dass sowohl die Anzahl als auch die Raffinesse solcher Angriffe im Laufe der Zeit zunehmen werden”, so die Intezer-Forscher in einem Bericht aus dem Jahr 2020, der die letzten zehn Jahre der Linux-APT-Angriffe aufzeigt.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com