Linux-Systeme werden von neuer RedXOR-Malware angegriffen

Cyber Security News

Laut Forschern zielt die neue Backdoor RedXOR auf Linux-Systeme ab und bietet verschiedene Möglichkeiten zur Datenexfiltration und zum Tunneln des Netzwerkverkehrs.

Forscher haben eine neue Backdoor für Linux-Systeme entdeckt, die sie mit der Winnti-Bedrohungsgruppe in Verbindung bringen.

Die Backdoor wird RedXOR genannt – zum einen, weil ihr Netzwerkdaten-Verschlüsselungsschema auf dem XOR-Verschlüsselungsalgorithmus basiert, und zum anderen, weil ihre Beispiele auf einer alten Version der Red Hat Enterprise Linux-Plattform gefunden wurden. Letztere Tatsache liefert einen Hinweis darauf, dass RedXOR in gezielten Angriffen gegen ältere Linux-Systeme eingesetzt wird, so die Forscher.

Die Malware hat verschiedene bösartige Fähigkeiten, sagten die Forscher – vom Exfiltrieren von Daten bis zum Tunneln des Netzwerkverkehrs zu einem anderen Ziel.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

“Die anfängliche Kompromittierung in dieser Kampagne ist nicht bekannt, aber einige übliche Einstiegspunkte in Linux-Umgebungen sind: Verwendung von kompromittierten Anmeldeinformationen oder durch Ausnutzung einer Schwachstelle oder Fehlkonfiguration”, so Avigayil Mechtinger, Sicherheitsforscher bei Intezer, gegenüber Threatpost. “Es ist auch möglich, dass die ursprüngliche Kompromittierung über einen anderen Endpunkt erfolgte, was bedeutet, dass der Bedrohungsakteur seitlich zu einem Linux-Rechner wechselte, auf dem diese Malware bereitgestellt wurde.”

Die Samples wurden entdeckt, nachdem sie von zwei verschiedenen Quellen in Indonesien und Taiwan auf VirusTotal hochgeladen worden waren. Die Forscher erklärten gegenüber Threatpost, dass es aufgrund dieser Tatsache wahrscheinlich ist, dass mindestens zwei Unternehmen die Malware in ihrer Umgebung entdeckt haben.

RedXOR-Malware: Cybersecurity-Bedrohung

Nach der Ausführung erstellt RedXOR einen versteckten Ordner (mit der Bezeichnung “.po1kitd.thumb”) in einem Home-Ordner, der dann zum Speichern von Dateien im Zusammenhang mit der Malware verwendet wird. Anschließend wird eine versteckte Datei (“.po1kitd-2a4D53”) in diesem Ordner erstellt. Die Malware installiert dann eine Binärdatei in den versteckten Ordner (namens “.po1kitd-update-k”) und richtet die Persistenz über “init”-Skripte ein.

“Die Malware speichert die Konfiguration verschlüsselt innerhalb der Binärdatei”, so die Forscher in einer Analyse vom Mittwoch. “Neben der Command-and-Control-(C2)-IP-Adresse und dem Port kann sie auch so konfiguriert werden, dass sie einen Proxy verwendet. Die Konfiguration enthält ein Kennwort… Dieses Kennwort wird von der Malware zur Authentifizierung gegenüber dem C2-Server verwendet.”

Nach der Einrichtung dieser Konfiguration kommuniziert die Malware dann mit dem C2-Server über einen TCP-Socket und kann verschiedene Befehle (über einen Befehlscode) ausführen. Diese Befehle umfassen: Hochladen, Entfernen oder Öffnen von Dateien, Ausführen von Shell-Befehlen, Tunneln von Netzwerkverkehr und Schreiben von Inhalten in Dateien.

Chinesische Bedrohungsakteure Verbindung

Die Forscher erklärten, sie hätten “wesentliche Ähnlichkeiten” zwischen RedXOR und anderer, bereits gemeldeter Malware gefunden, die mit Winnti in Verbindung gebracht wird: die PWNLNX-Backdoor, das XOR.DDOS-Botnet und das Groundhog-Botnet. Die Winnti-Bedrohungsgruppe (auch bekannt als APT41, Barium, Wicked Panda oder Wicked Spider) ist für staatlich unterstützte Cyberspionage-Aktivitäten sowie für Cyberkriminalität im Finanzbereich bekannt.

Zu diesen Ähnlichkeiten gehören die Verwendung von Open-Source-Kernel-Rootkits (die zum Verstecken ihrer Prozesse verwendet werden), die Verwendung des Funktionsnamens CheckLKM, die Netzwerkverschlüsselung mit XOR und verschiedene Ähnlichkeiten im Ablauf der Hauptfunktionen.

Auch “der gesamte Codefluss, das Verhalten und die Fähigkeiten von RedXOR sind PWNLNX sehr ähnlich”, so die Forscher. “Beide haben Funktionen zum Hoch- und Herunterladen von Dateien sowie eine laufende Shell. Die Netzwerk-Tunneling-Funktionalität in beiden Familien heißt ‘PortMap’.”

Malware-Autoren haben Linux-Systeme im Visier

Laut den Forschern gab es im Jahr 2020 einen 40-prozentigen Anstieg an neuen Linux-Malware-Familien – mit 56 Malware-Stämmen ein neuer Rekord. Über Winnti hinaus entwickeln Bedrohungsakteure wie APT28, APT29 und Carbanak Linux-Versionen ihrer traditionellen Malware, so die Forscher.

“Linux-Systeme sind ständigen Angriffen ausgesetzt, da Linux auf einem Großteil der öffentlichen Cloud-Workloads läuft”, so die Forscher von Intezer. “Eine von Sophos durchgeführte Umfrage ergab, dass 70 Prozent der Unternehmen, die die öffentliche Cloud zum Hosten von Daten oder Workloads nutzen, im vergangenen Jahr einen Sicherheitsvorfall erlebt haben.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com