吳明宜RedXOR後門程式瞄準Linux伺服器漏洞而來 相信是中國駭客組織所為
安全研究人員發現一個和中國支持的駭客組織有關的後門程式,名為RedXOR,正在鎖定Linux系統,包括伺服器和端點進行攻擊。
Intezer公司研究人員發現RedXOR後門程式樣本被上傳到了Google VirusTotal平台(編按:目前已移除),且都只有很少的防毒引擎偵測到。上傳來源包括台灣和印尼,兩者皆為中國駭客偏好的目標。
Intezer研究人員分析發現,RedXOR具備多種能力,包括以系統權限執行指令,管理被感染Linux機器上的檔案、利用開原碼rootkit Adore-ng隱藏行程、扮演中間站點傳送惡意流量、遠端更新等等。
RedXOR可能是中國駭客組織Winnti所發展
根據RedXOR 的策略、手法和程序研判,Intezer研究人員相信RedXOR是中國駭客組織Winnti最新發展出的惡意攻擊工具。
Winnti是歐美資安界對中國政府支持的駭客組織賦予的名稱之一,微軟稱為BARIUM、FireEye稱APT41、賽門鐵克叫它Blackfly及Suckfly、CrowdStrike則喚它Wicked Panda。
Winnti其實活動歷史甚早。2011年卡巴斯基就發現Winnti利用木馬程式駭入美國一家遊戲軟體商的主要更新伺服器後,下載到數萬台遊戲機中。2019年Winni再度使用供應鏈攻擊法,駭入華碩LiveUpdate伺服器後藉此在用戶伺服器和電腦上安裝後門程式。
Intezer分析,新發現RedXOR Linux後門和Winni常用的惡意程式,包括PWNLNX後門及Groundhog、XOR.DDOS殭屍網路程式之間十分相似,包括都使用老牌的開原碼核心rootkit、完全相同的函式命名法、滲透服務的命名方式類似、都以XOR演算法加密惡意流量、都使用舊式Red Hat組譯工具,以及擁有相似的程式碼流程及功能等等。
研究人員指出,近十年內幾次大規模APT攻擊都以Linux伺服器為目標,也出現專門用於間諜行動的Linux惡意工具,一些由國家支持最厲害的APT組織都已將Linux惡意工具納入其火藥庫,未來此類攻擊不管次數或複雜度都會愈來愈提升。