Peneliti keamanan di Intezer telah menemukan pintu belakang yang sebelumnya tidak berdokumen yang dijuluki RedXOR , dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.
The RedXOR sampel malware ditemukan oleh Intezer diupload ke VirusTotal ( 1 , 2 ) dari Taiwan dan Indonesia (dikenal target hacker negara Cina) dan memiliki tingkat deteksi yang rendah.
Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan titik akhir Linux.
RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.
Tautan ke malware Winnti Cina
Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok payung ancaman Winnti China.
"Berdasarkan viktimologi, serta komponen dan Taktik, Teknik, dan Prosedur (TTP) serupa, kami yakin RedXOR dikembangkan oleh aktor-aktor ancaman China yang terkenal," kata Intezer .
Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.
Kesamaan yang ditemukan oleh peneliti keamanan saat membandingkan jenis malware ini termasuk penggunaan:
- rootkit kernel open-source lama,
- fungsi bernama identik,
- Lalu lintas berbahaya berkode XOR,
- skema penamaan yang sebanding untuk layanan persistensi,
- kompilasi menggunakan kompiler Red Hat lama,
- aliran kode dan fungsionalitas yang sangat mirip, dan banyak lagi.
Siapa Winnti?
Grup APT ini berbagi gudang alat berbahaya yang digunakan dalam serangan spionase dunia maya dan bermotif finansial setidaknya sejak 2011.
Saat itulah para peneliti Kaspersky menemukan malware Trojan Winnti pada sejumlah besar sistem permainan yang disusupi menyusul serangan rantai pasokan yang membahayakan server pembaruan resmi permainan.
Kaspersky juga mengungkapkan bukti yang menghubungkan taktik dan metode serangan Winnti yang digunakan dalam kompromi LiveUpdate ASUS selama Operasi ShadowHammer dengan yang digunakan dalam serangan rantai pasokan lainnya, termasuk NetSarang dan CCleaner dari tahun 2017.
Grup APT semakin menargetkan pengguna Linux
Penemuan baru sama sekali tidak mengejutkan, dengan mempertimbangkan lebih dari 40% peningkatan malware Linux baru yang ditemukan selama tahun 2020.
Peretas negara-bangsa juga semakin fokus pada penargetan sistem Linux, seperti yang disorot oleh laporan Intezer tahun 2020 yang merangkum sepuluh tahun terakhir serangan Linux APT.
"Dalam dekade sebelumnya para peneliti menemukan beberapa kampanye APT besar yang menargetkan sistem Linux, serta alat malware Linux unik yang disesuaikan untuk operasi spionase," kata Intezer.
"Beberapa aktor negara-bangsa yang paling menonjol memasukkan kemampuan Linux ofensif ke dalam gudang senjata mereka dan diharapkan jumlah dan kecanggihan serangan semacam itu akan meningkat seiring waktu."