Sistemas Linux bajo ataque de nuevo malware RedXOR

Los investigadores dicen que la nueva puerta trasera RedXOR está dirigida a sistemas Linux con varias capacidades de exfiltración de datos y tunelización de tráfico de red.

Investigadores han descubierto una nueva puerta trasera dirigida a los sistemas Linux, que vinculan al grupo de amenazas Winnti.

La puerta trasera se llama RedXOR, en parte porque su esquema de codificación de datos de red se basa en el algoritmo de cifrado XOR, y en parte porque sus muestras se encontraron en una versión anterior de la plataforma Red Hat Enterprise Linux. Este último hecho proporciona una pista de que RedXOR se utiliza en ataques dirigidos contra sistemas Linux heredados, señalaron los investigadores.

El malware tiene varias capacidades maliciosas, dijeron los investigadores, desde exfiltrar datos hasta canalizar el tráfico de red a otro destino.

“No se conoce el compromiso inicial en esta campaña, pero algunos puntos de entrada comunes a los entornos Linux son: El uso de credenciales comprometidas o mediante la explotación de una vulnerabilidad o configuración incorrecta”, dijo Avigayil Mechtinger, investigador de seguridad de Intezer. «También es posible que el compromiso inicial fuera a través de un punto final diferente, lo que significa que el actor de la amenaza se trasladó lateralmente a una máquina Linux donde se implementó este malware».

Malware RedXOR: amenaza de ciberseguridad

Después de la ejecución, RedXOR crea una carpeta oculta (llamada «.po1kitd.thumb») dentro de una carpeta de inicio, que luego se utiliza para almacenar archivos relacionados con el malware. Luego, crea un archivo oculto («.po1kitd-2a4D53») dentro de esta carpeta. Luego, el malware instala un archivo binario en la carpeta oculta (llamado «.po1kitd-update-k») y configura la persistencia a través de los scripts «init».

«El malware almacena la configuración encriptada dentro del binario», dijeron los investigadores, en un análisis del miércoles . “Además de la dirección IP y el puerto de comando y control (C2), también se puede configurar para usar un proxy. La configuración incluye una contraseña … El malware utiliza esta contraseña para autenticarse en el servidor C2 «.

Después de establecer esta configuración, el malware se comunica con el servidor C2 a través de un socket TCP y puede ejecutar varios comandos diferentes (a través de un código de comando). Estos comandos incluyen: cargar, eliminar o abrir archivos, ejecutar comandos de shell, tunelizar el tráfico de red y escribir contenido en archivos.