Linux 系统受到新型 RedXOR 恶意软件攻击

研究人员说，新型RedXOR后门针对数据外泄和网络流量隧道功能的Linux系统。

研究人员发现了一种针对Linux系统的新后门，他们将其链接回Winnti威胁小组。

后门被称为RedXOR-部分是因为其网络数据编码方案基于XOR加密算法，部分原因是其样本是在Red Hat Enterprise Linux平台的旧版本中找到的。研究人员指出，后一个事实提供了一个线索，表明RedXOR被用于针对传统Linux系统的针对性攻击。

研究人员说，该恶意软件具有多种恶意功能-从泄露数据到将网络流量隧道传输到另一个目的地。

Intezer的安全研究人员Avigayil Mechtinger说：“这场活动最初的方案未知，但Linux环境的一些常见切入点是：使用泄露的凭据，或者利用漏洞或错误配置。” “也有可能最初的危害是通过不同的端点，这意味着威胁行为者横向移动到部署了该恶意软件的Linux计算机。”

在从印度尼西亚和台湾的两个不同来源上载到VirusTotal之后，对样本进行了检测。研究人员说，基于此，很可能至少有两个实体在其环境中发现了该恶意软件。

RedXOR恶意软件：网络安全威胁

执行后，RedXOR在主文件夹内创建一个隐藏文件夹（称为“ .po1kitd.thumb”），然后将其用于存储与恶意软件有关的文件。然后，它在此文件夹中创建一个隐藏文件（“ .po1kitd-2a4D53 ”）。然后，该恶意软件将二进制文件安装到隐藏文件夹（称为“ .po1kitd-update-k ”），并通过“ init ”脚本设置持久性。

研究人员在周三的分析中说：“恶意软件将加密的配置存储在二进制文件中。” “除了命令和控制（C2）IP地址和端口，还可以将其配置为使用代理。该配置包括一个密码……恶意软件使用此密码对C2服务器进行身份验证。”

建立此配置后，恶意软件然后通过TCP套接字与C2服务器通信，并且可以执行各种不同的命令（通过命令代码）。这些命令包括：上传，删除或打开文件，执行Shell命令，建立网络流量隧道以及将内容写入文件。

研究人员说，他们发现RedXOR与先前报告的与Winnti相关的其他恶意软件之间存在“关键相似之处”：PWNLNX后门，XOR.DDOS僵尸网络和Groundhog僵尸网络。该Winnti威胁组（又名APT41，Barium, Wicked Panda or Wicked Spider）是著名的族国家支持的网络间谍活动以及金融网络犯罪。

这些相似之处包括使用开源内核rootkit（用于隐藏其进程）。使用的功能名称CheckLKM；使用XOR进行网络编码；以及主要功能流程中的各种相似之处。

研究人员说，“ RedXOR的整体代码流，行为和功能与PWNLNX非常相似。” 两者都具有文件上传和下载功能以及正在运行的shell。这两个系列中的网络隧道功能都称为“ PortMap”。”

研究人员表示，到2020年，新的Linux恶意软件家族将增长40％，创下56种恶意软件的新记录。 他们说，除了Winnti之外，诸如APT28，APT29和Carbanak之类的威胁参与者正在开发其传统恶意软件的Linux版本。

Intezer研究人员说：“由于Linux在大多数公共云工作负载上运行，因此Linux系统受到不断的攻击。” “ Sophos进行的一项调查发现，在过去的一年中，使用公共云托管数据或工作负载的组织中有70％发生了安全事件。”