駭客瞄準Linux系統植入後門程式,臺灣也在受害之列

安全廠商Intezer發現一隻全新後門程式,冒充Linux平臺的Policykit精靈程式,專門攻擊Linux伺服器和電腦

安全廠商Intezer發現一隻全新後門程式,專門攻擊Linux伺服器和電腦。由於它使用XOR作為網路資料的加密演算法,研究人員將之稱為RedXOR。根據RedXOR攻擊的策略、手法和程序,研究人員研判它出自中國駭客組織Winnti之手。(圖片來源/Intezer)

安全研究人員近日發現,中國駭客疑似發展出一種相當複雜的後門程式,正鎖定Linux伺服器及終端發動攻擊,臺灣也成為攻擊目標之一。

安全廠商Intezer近日發現一隻全新後門程式,冒充Linux平臺的Policykit精靈程式,專門攻擊Linux伺服器和電腦。由於它使用XOR作為網路資料的加密演算法,研究人員將之稱為RedXOR。同時,根據RedXOR攻擊的策略、手法和程序,研究人員研判它是由一個高調的中國駭客組織Winnti所開發。

研究人員最早是在掃瞄平臺VirusTotal平臺,發現由受害者上傳的RedXOR樣本。這些樣本的來源包括臺灣和印度,兩者向來是中國駭客攻擊的目標。雖然VirusTotal上有超過五、六十種掃毒引擎,但在3月10日時對這些樣本卻只有很低的偵測率,62個引擎只有1個偵測到異狀。

RedXOR是以GCC組譯工具在舊版Red Hat Enterprise Linux上組譯而成,顯示RedXOR是為攻擊舊版Linux系統而設計,而且此時仍然持續活動中。

分析樣本Intezer研究人員發現,RedXOR和名為Winnti的中國駭客組織使用過的惡意程式,包括PWNLNX後門以及殭屍網路病毒XOR.DDOS及Groudhog有許多重疊之處,包括都使用舊的開源核心rootkit 程式Adore-ng、功能命令方式、建立的攻擊架構、運作及檔案結構很類似,也都使用XOR演算法為網路流量編碼加密。他們相信,RedROX可能是Winnti發展出的最新攻擊工具。

Winnti是受中國政府支持的駭客組織,它有很多別名,也被稱為APT41、Blackfly、Barium。2011年起卡巴斯基就發現Winnti多次攻擊臺灣、美國及東南亞的遊戲業者以竊取遊戲程式碼,也會對軟體、硬體廠商發動供應鏈攻擊,華碩電腦2019年即被它駭入更新伺服器以下載到用戶電腦中。此外,德國媒體也指控,德國公司如西門子、Teamviewer等都曾遭到Winnti的毒手。

研究人員指出,RedROX具有隱匿行蹤、在受害者系統內蒐集用戶ID、密碼及系統資訊,並與外部C&C伺服器建立加密連線傳送資料,還能執行C&C伺服器傳送的指令,以及遠端更新自我功能。

針對RedXOR,研究人員提醒,為防止企業網路遭到感染,應僅從信賴的雲端服務下載可信賴的程式碼。

但Intezer進一步指出,過去10年以來,Linux系統已成為大型APT(進階滲透威脅)活動,以及以間諜為目的惡意程式的目標,有些高端的國家駭客也已針對Linux發展出攻擊武器,未來Linux系統將面臨更複雜且更頻繁的威脅。

除Linux系統外,本月初微軟公布Exchange Server的ProxyLogon漏洞後,ESET發現Winnti也是駭進Exchange Server的駭客組織之一。

資料來源:iThome

Scroll Up