Logiciel malveillant RedXOR

Une nouvelle campagne d'attaque qui, selon les chercheurs d'Infosec, est toujours en cours vise les terminaux et les serveurs Linux. L'opération déploie une menace inédite appelée malware RedXOR. L'outil menaçant s'intègre dans le système compromis, crée un canal de porte dérobée et donne un large contrôle sur l'appareil à l'acteur menaçant.

RedXOR présente une conception extrêmement ciblée qui le rend impropre aux attaques contre un ensemble plus large de cibles. Au lieu de cela, la menace est créée pour rester invisible sur quelques victimes stratégiquement sélectionnées, car elle doit être compilée pour la version de noyau spécifique qui s'exécute sur le système choisi. Jusqu'à présent, le point de violation initial du malware RedXOR n'a pas été trouvé, mais les chercheurs notent qu'une fois déployée, la menace peut effectuer un large éventail d'activités menaçantes. Il peut parcourir et manipuler le système de fichiers, récupérer des fichiers supplémentaires, exfiltrer les données collectées, exécuter des interpréteurs de commandes Web ou acheminer le trafic réseau vers une destination choisie. De plus, RedXOR a la capacité de se mettre à jour. Cette fonctionnalité permet aux pirates d'installer de nouvelles versions s'ils pensent que l'actuelle est sur le point d'être détectée, augmentant ainsi les chances d'éviter la découverte.

Le logiciel malveillant RedXOR présente des similitudes frappantes avec les outils malveillants du groupe Winnti (APT 41), soutenu par la Chine, APT (Advanced Persistence Threat). Les chevauchements entre RedXOR et l'arsenal de Winnti incluent le langage de codage des menaces, les rootkits de noyau open-source employés et l'utilisation du chiffrement XOR pour le codage des données. Il est tout à fait possible qu'un groupe différent ait imité les rootkits du noyau techniopen-source et l'utilisation du chiffrement XOR pour le codage des données. Il est tout à fait possible qu'un groupe différent ait imité les techniques de Winnti. Cependant, les chercheurs d'Intezer qui ont analysé RedXOR estiment qu'un tel nouvel acteur de la menace aura très probablement également des liens avec le gouvernement chinois.