I ricercatori di Intezer hanno scoperto una nuova backdoor sofisticata destinata a server e endpoint Linux. La backdoor è stata chiamata RedXOR per il suo schema di codifica dei dati di rete basato su XOR e prende di mira i sistemi Linux, mascherata da demone polkit.
Il malware è stato compilato su Red Hat Enterprise Linux e sulla base di tattiche, tecniche e procedure (TTP) si presume che sia sviluppato da attori cinesi di alto profilo. RedXOR presenta varie capacità dannose, dall’esfiltrazione di dati al tunneling del traffico di rete verso un’altra destinazione.
Installazione, configurazione e comandi
Dopo l’esecuzione, RedXOR crea un file nascosto chiamato “.po1kitd-2a4D53” all’interno della cartella. Il file è bloccato per il processo in esecuzione corrente, creando essenzialmente un mutex. Dopo che il malware ha creato il mutex, si installa sulla macchina infetta. il malware cerca il suo percorso corrente e sposta il file binario nella cartella creata. Nasconde il file chiamandolo “.po1kitd-update-k”.
Dopo aver installato il binario nella cartella nascosta, il malware imposta la persistenza tramite script “init”. Il malware controlla se il rootkit è attivo creando un file e rimuovendolo. Quindi, il malware confronta l ‘“ID utente impostato salvato” del processo con l’ID utente. Se non corrispondono, il rootkit è abilitato. Se corrispondono, controlla se l’ID utente è “10” e, in questo caso, il rootkit è abilitato.
La logica “CheckLKM” è quasi identica alla funzione “adore_init” nel rootkit “adore-ng”. Afore-ng è un rootkit cinese open source LKM (Loadable Kernel Module). Questa tecnica consente al malware di rimanere sotto il radar nascondendo i suoi processi.
Il malware memorizza la configurazione crittografata nel file binario. Oltre all’indirizzo IP e alla porta di comando e controllo (C2), può anche essere configurato per utilizzare un proxy. La configurazione include una password che viene utilizzata dal malware per autenticarsi sul server C2.
Una volta stabilita questa configurazione, il malware comunica con il server C2 tramite un socket TCP e può eseguire vari comandi diversi (attraverso un codice di comando) i quali includono: caricamento, rimozione o apertura di file, esecuzione di comandi shell, tunneling di rete e scrittura di contenuto sui file.
