吳明宜安全研究人員發現一個和中國支持的駭客組織有關的後門程式,名為 RedXOR,正在鎖定 Linux 系統,包括伺服器和端點進行攻擊。
Intezer 公司研究人員發現 RedXOR 後門程式樣本被上傳到了 Google VirusTotal 平台(編按:目前已移除),且都只有很少的防毒引擎偵測到。上傳來源包括台灣和印尼,兩者皆為中國駭客偏好的目標。
Intezer 研究人員分析發現,RedXOR 具備多種能力,包括以系統權限執行指令,管理被感染 Linux 機器上的檔案、利用開原碼 rootkit Adore-ng 隱藏行程、扮演中間站點傳送惡意流量、遠端更新等等。
RedXOR 可能是中國駭客組織 Winnti 所發展
根據 RedXOR 的策略、手法和程序研判,Intezer 研究人員相信 RedXOR 是中國駭客組織 Winnti 最新發展出的惡意攻擊工具。
Winnti 是歐美資安界對中國政府支持的駭客組織賦予的名稱之一,微軟稱為 BARIUM 、 FireEye 稱 APT41 、賽門鐵克叫它 Blackfly 及 Suckfly 、 CrowdStrike 則喚它 Wicked Panda 。
Winnti 其實活動歷史甚早。 2011 年卡巴斯基就發現 Winnti 利用木馬程式駭入美國一家遊戲軟體商的主要更新伺服器後,下載到數萬台遊戲機中。 2019 年 Winni 再度使用供應鏈攻擊法,駭入華碩 LiveUpdate 伺服器後藉此在用戶伺服器和電腦上安裝後門程式。
Intezer 分析,新發現 RedXOR Linux 後門和 Winni 常用的惡意程式,包括 PWNLNX 後門及 Groundhog 、 XOR.DDOS 殭屍網路程式之間十分相似,包括都使用老牌的開原碼核心 rootkit 、完全相同的函式命名法、滲透服務的命名方式類似、都以 XOR 演算法加密惡意流量、都使用舊式 Red Hat 組譯工具,以及擁有相似的程式碼流程及功能等等。
研究人員指出,近十年內幾次大規模 APT 攻擊都以 Linux 伺服器為目標,也出現專門用於間諜行動的 Linux 惡意工具,一些由國家支持最厲害的 APT 組織都已將 Linux 惡意工具納入其火藥庫,未來此類攻擊不管次數或複雜度都會愈來愈提升。