Un nouveau malware lié à la Chine cible les points de terminaison et les serveurs Linux

  • FrançaisFrançais


  • Le nouveau malware compilé sur Red Hat Enterprise Linux utilise un schéma d’encodage de données réseau basé sur XOR, crée une porte dérobée dans les systèmes qui donne à un attaquant un contrôle quasi total sur les machines infectées. (Le «fichier de mots de passe Linux» de Christiaan Colen est sous licence CC BY-SA 2.0)

    Les chercheurs d’Intezer ont découvert un nouveau logiciel malveillant ciblant les points de terminaison et les serveurs Linux.

    Le malware, qu’Intezer appelle RedXOR car il a été compilé sur Red Hat Enterprise Linux et utilise un schéma d’encodage de données réseau basé sur XOR, crée une porte dérobée dans les systèmes qui donne à un attaquant un contrôle presque total sur les machines infectées. Les chercheurs ont trouvé deux échantillons de logiciels malveillants sur VirusTotal, téléchargés depuis Taïwan et l’Indonésie, et pensent que la campagne est toujours active.

    Une fois déployé, RedXOR permet à un attaquant de parcourir les fichiers, de télécharger et de télécharger des fichiers, d’exfiltrer des données, de déployer des web shells ou de tunneliser le trafic réseau vers une autre destination. Joakim Kennedy, un chercheur de la société, a déclaré à SC Media que le malware a été conçu «pour être très furtif» et doit être compilé pour la version spécifique du noyau qui s’exécute réellement sur des machines ciblées, ce qui le rend plus adapté pour compromettre une poignée de -sélectionné des points de terminaison plutôt qu’une attaque à grande échelle.

    «Il fonctionne à un niveau si élevé qu’ils ont la capacité de faire n’importe quoi et de cacher le processus, donc en théorie, il pourrait être invisible pour tout utilisateur normal ou même un utilisateur root, l’utilisateur le plus privilégié sur la machine», a déclaré Kennedy.

    Le malware nécessite une forme d’accès initial dans un premier temps, et bien qu’Intezer ne sache pas ce qui a été utilisé à partir des échantillons téléchargés, Kennedy a déclaré qu’il serait «relativement simple» de l’associer à un exploit d’accès initial. Le malware a également la capacité d’être mis à jour, ce qui pourrait permettre aux attaquants d’installer de nouvelles versions ou d’échapper à la détection des défenseurs.

    «Si l’acteur de la menace, pour une raison quelconque, est effrayé et pense que son infrastructure a été détectée, signalée ou compromise d’une manière ou d’une autre, il pourrait alors créer rapidement une nouvelle version du logiciel malveillant avec un nouveau serveur de commande et de contrôle», a déclaré Kennedy.

    Les chercheurs pensent que RedXOR est utilisé par un groupe de piratage lié au gouvernement chinois. Il partage des similitudes clés avec les précédents logiciels malveillants et botnets utilisés par Winnti Group, ou APT 41, un groupe de menaces lié aux services de renseignement chinois avec un penchant pour cibler les industries stratégiquement importantes pour Pékin. Selon Kennedy, il existe des chevauchements entre le fonctionnement de RedXOR, l’utilisation de rootkits de noyau open source, le langage de codage et l’utilisation de XOR pour coder les données réseau. Bien qu’il soit toujours possible qu’un autre groupe de menaces imite les mêmes tactiques, techniques et procédures, Intezer n’a jamais vu ces similitudes que dans d’autres campagnes du groupe Winnti.

    “D’après ce que nous avons vu, nous n’avons jamais rencontré ce genre de comportement auparavant, donc cela a une touche tout à fait unique”, a déclaré Kennedy.

    Alors que les logiciels malveillants ciblant les systèmes d’exploitation Linux étaient auparavant considérés comme rares, ces perceptions changent rapidement. 2020 a été une année record pour les malwares basés sur Linux, avec une recherche conjointe d’Intezer et d’IBM X-Force pour trouver 56 familles de malwares Linux, une augmentation de 40% par rapport à 2019 et une augmentation de 500% depuis 2010. L’augmentation est en partie due au cloud stratégies d’adoption, certaines sources estimant que jusqu’à 90% des charges de travail de cloud public s’exécutent sur des systèmes Linux.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *