Le malware RedXOR cible les systèmes Linux et est lié à un groupe Chinois

0

Des chercheurs en sécurité d’Intezer ont découvert une porte dérobée baptisée RedXOR, qui semble être liée à un groupe de pirates sponsorisé par la Chine et utilisée dans des attaques ciblant les systèmes Linux.

Les échantillons du logiciel malveillant RedXOR trouvés par Intezer ont été partagés sur VirusTotal (1, 2) depuis Taiwan et l’Indonésie et ont de faibles taux de détection.

En se basant sur les serveurs de commande et de contrôle toujours actifs, cette porte dérobée Linux est utilisée dans les attaques en cours ciblant à la fois les serveurs Linux et les points de terminaison.

RedXOR est livré avec un grand ensemble de fonctionnalités, y compris l’exécution des commandes avec des privilèges système, la gestion des fichiers sur les boîtes Linux infectées, la dissimulation de son processus en utilisant le rootkit open-source Adore-ng, le routage du trafic malveillant via un proxy, la mise à jour à distance, et plus encore.

Des liens avec les malwares du groupe chinois Winnti

Le nouveau malware est considéré comme un nouvel outil malveillant ajouté à l’arsenal du groupe chinois Winnti.

« En se basant sur la victimologie, ainsi que des composants similaires et les tactiques, techniques et procédures (TPT), nous croyons que RedXOR a été développé par des groupes de pirates Chinois de haut vol », a déclaré Intezer.

Intezer a également trouvé de multiples connexions entre la porte dérobée RedXOR et de multiples souches de logiciels malveillants liées au groupe de pirates Winnti, incluant la porte dérobée PWNLNX et les botnets Groundhog et XOR.DDOS.

Les similitudes découvertes par les chercheurs en sécurité lors de la comparaison de ces souches de logiciels malveillants comprennent l’utilisation de:

  • vieux rootkits de noyau open-source,
  • fonctions identiquement nommées
  • trafic malveillant codé en XOR
  • système de dénomination comparable pour les services de persistance
  • compilation à l’aide de compilateurs Red Hat
  • flux de code et de fonctionnalité très similaire, et plus

Qui est Winnti?

Winnti est un terme générique utilisé pour identifier un ensemble de groupes de piratage (nommé BARIUM par Microsoft, APT41 par FireEye, Blackfly and Suckfly par Symantec, Wicked Panda par CrowdStrike) liés aux intérêts du gouvernement chinois.

Ces groupes APT partagent un arsenal d’outils malveillants utilisés dans le cyber-espionnage et les attaques à motivation financière depuis au moins 2011.

Les groupes APT ciblent de plus en plus les utilisateurs de Linux

La découverte de nouveaux logiciels malveillants n’est pas du tout surprenante, compte tenu de l’augmentation de plus de 40% des nouveaux logiciels malveillants de Linux trouvés en 2020.

Les pirates étatiques se concentrent également de plus en plus sur le ciblage des systèmes Linux, comme le souligne un rapport d’Intezer datant de 2020 et résumant les dix dernières années d’attaques de groupe APT ciblant Linux.

« Au cours de la décennie précédente, les chercheurs ont découvert plusieurs grandes campagnes APT ciblant les systèmes Linux, ainsi que des outils de logiciels malveillants Linux uniques adaptés aux opérations d’espionnage », a déclaré Intezer.

« Certains des acteurs étatiques les plus en vue intègrent des capacités Linux offensives dans leur arsenal et on s’attend à ce que le nombre et la sophistication de telles attaques augmentent au fil du temps. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.