Denominado RedXOR, admite una multitud de capacidades
Investigadores de ciberseguridad arrojaron luz el miércoles sobre una nueva y sofisticada puerta trasera dirigida a puntos finales y servidores de Linux que se cree que es el trabajo de los actores estatales chinos.
Denominado "RedXOR" por Intezer, la puerta trasera se disfraza como un demonio polkit, con similitudes encontradas entre el malware y aquellos previamente asociados con el grupo de amenazas Winnti Umbrella (o Axiom) como PWNLNX, XOR.DDOS y Groundhog.
El nombre de RedXOR proviene del hecho de que codifica sus datos de red con un esquema basado en XOR, y que está compilado con un compilador GCC heredado en una versión anterior de Red Hat Enterprise Linux, lo que sugiere que el malware se implementa en ataques dirigidos contra sistemas Linux heredados.
Intezer dijo que se cargaron dos muestras del malware desde Indonesia y Taiwán alrededor del 23 al 24 de febrero, ambos países que se sabe que son señalados por grupos de amenazas con sede en China.
Aparte de las superposiciones en términos de flujo general y funcionalidades y el uso de la codificación XOR entre RedXOR y PWNLNX, la puerta trasera toma la forma de un archivo ELF de 64 bits sin quitar ("po1kitd-update-k"), completado con un nombre con errores tipográficos ("po1kitd" frente a "polkitd"), que, una vez ejecutado, procede a crear un directorio oculto para almacenar archivos relacionados con el malware, antes de instalarse en la máquina.
Polkit (del anterior PolicyKit) es un conjunto de herramientas para definir y gestionar autorizaciones, y se utiliza para permitir que los procesos sin privilegios se comuniquen con los procesos con privilegios.
Además, el malware viene con una configuración encriptada que alberga la dirección IP y el puerto de comando y control (C2), y la contraseña que necesita para autenticarse en el servidor C2, antes de establecer la conexión a través de un socket TCP.
Además, las comunicaciones no solo se disfrazan como tráfico HTTP inofensivo, sino que también se codifican en ambos sentidos mediante un esquema de cifrado XOR, cuyos resultados se descifran para revelar el comando exacto que se ejecutará.
RedXOR admite una multitud de capacidades, incluida la recopilación de información del sistema (dirección MAC, nombre de usuario, distribución, velocidad del reloj, versión del kernel, etc.), realización de operaciones de archivos, ejecutar comandos con privilegios del sistema, ejecutar comandos de shell arbitrarios e incluso opciones para actualizar el malware de forma remota.
Los usuarios víctimas de RedXOR pueden tomar medidas de protección eliminando el proceso y eliminando todos los archivos relacionados con el malware.
En todo caso, el último desarrollo apunta a un aumento en la cantidad de campañas activas dirigidas a sistemas Linux, en parte debido a la adopción generalizada del sistema operativo para dispositivos IoT, servidores web, y servidores en la nube, lo que lleva a los atacantes a migrar sus existentes herramientas de Windows a Linux o desarrollar nuevas herramientas que admitan ambas plataformas.
"Algunos de los actores estatales más destacados están incorporando en su arsenal capacidades ofensivas de Linux y se espera que tanto el número como la sofisticación de tales ataques aumenten con el tiempo", señalaron los investigadores de Intezer en un informe de 2020 que traza la última década de ataques APT de Linux.
