Neue Malware mit Bezug zu China zielt auf Linux-Endpunkte und -Server

Cyber Security News

Eine neue Malware, die unter Red Hat Enterprise Linux kompiliert wurde, verwendet ein auf XOR basierendes Schema zur Verschlüsselung von Netzwerkdaten und schafft eine Hintertür in Systemen, die einem Angreifer nahezu volle Kontrolle über infizierte Rechner gibt. (“Linux password file” von Christiaan Colen ist lizenziert unter CC BY-SA 2.0)

Die Forscher von Intezer haben eine neue Malware gefunden, die auf Linux-Endpunkte und -Server abzielt.

Die Malware, die von Intezer als RedXOR bezeichnet wird, weil sie auf Red Hat Enterprise Linux kompiliert wurde und ein auf XOR basierendes Schema zur Verschlüsselung von Netzwerkdaten verwendet, schafft eine Hintertür in Systemen, die einem Angreifer nahezu volle Kontrolle über infizierte Rechner gibt. Die Forscher fanden zwei Samples der Malware auf VirusTotal, die aus Taiwan und Indonesien hochgeladen wurden, und glauben, dass die Kampagne immer noch aktiv ist.

Einmal eingesetzt, ermöglicht RedXOR einem Angreifer das Durchsuchen von Dateien, das Hoch- und Herunterladen von Dateien, das Exfiltrieren von Daten, das Einrichten von Web-Shells oder das Tunneln des Netzwerkverkehrs zu einem anderen Ziel. Joakim Kennedy, ein Forscher des Unternehmens, erklärte gegenüber SC Media, dass die Malware “sehr heimlich” entwickelt wurde und für die spezifische Kernel-Version kompiliert werden muss, die auf den Zielcomputern läuft, wodurch sie sich eher für die Kompromittierung einer Handvoll strategisch ausgewählter Endpunkte als für einen breit angelegten Angriff eignet.

“Er läuft auf einer so hohen Ebene, dass sie die Möglichkeit haben, alles zu tun und den Prozess zu verstecken, so dass er theoretisch für jeden normalen Benutzer oder sogar einen Root-Benutzer, den Benutzer mit den höchsten Privilegien auf der Maschine, unsichtbar sein könnte”, sagte Kennedy.

Die Malware erfordert eine Form von Erstzugang als ersten Schritt, und während Intezer nicht weiß, was von den hochgeladenen Samples verwendet wurde, sagte Kennedy, dass es “relativ einfach” wäre, es mit einem Erstzugang Exploit zu paaren. Die Malware kann auch aktualisiert werden, was es den Angreifern ermöglichen könnte, neue Versionen zu installieren oder die Erkennung durch Verteidiger zu umgehen.

“Wenn der Angreifer aus irgendeinem Grund erschreckt wird und denkt, dass seine Infrastruktur entdeckt oder gemeldet oder in irgendeiner Weise kompromittiert wurde, könnte er schnell eine neue Version der Malware mit einem neuen Command-and-Control-Server erstellen”, sagte Kennedy.

Die Forscher glauben, dass RedXOR von einer Hackergruppe verwendet wird, die mit der chinesischen Regierung verbunden ist. Es weist große Ähnlichkeiten mit früherer Malware und Botnetzen auf, die von der Winnti Group oder APT 41 verwendet wurden, einer Bedrohungsgruppe, die mit den chinesischen Geheimdiensten verbunden ist und eine Vorliebe für Angriffe auf Branchen hat, die für Peking strategisch wichtig sind. Laut Kennedy gibt es Überschneidungen zwischen der Funktionsweise von RedXOR, der Verwendung von Open-Source-Kernel-Rootkits, der Codierungssprache und der Verwendung von XOR zur Verschlüsselung von Netzwerkdaten. Es ist zwar immer möglich, dass eine andere Bedrohungsgruppe dieselben Taktiken, Techniken und Verfahren nachahmt, aber Intezer hat diese Ähnlichkeiten bisher nur bei anderen Kampagnen der Winnti-Gruppe gesehen.

“Soweit wir gesehen haben, ist uns diese Art von Verhalten noch nie zuvor begegnet, es hat also eine ganz eigene Note”, so Kennedy.

Während Malware, die auf Linux-Betriebssysteme abzielt, bisher als selten angesehen wurde, ändert sich diese Wahrnehmung schnell. 2020 war ein hervorragendes Jahr für Linux-basierte Malware: In einer gemeinsamen Studie von Intezer und IBMs X-Force wurden 56 Linux-Malware-Familien gefunden – ein Anstieg von 40 % gegenüber 2019 und ein Anstieg von 500 % seit 2010. Der Anstieg wird zum Teil durch Strategien zur Cloud-Einführung vorangetrieben, wobei einige Quellen schätzen, dass bis zu 90 % der öffentlichen Cloud-Workloads auf Linux-basierten Systemen laufen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com