Bitxor20 Botnet misbruger Log4J-sårbarheden

Log4J-sårbarheden har gjort det muligt for snesevis af cyberkriminelle hurtigt at udvide deres rækkevidde og forstærke effektiviteten af deres angreb. En af de malware-familier, der hidtil fløj under radaren, har været Bitxor20 Botnet. Denne malware er kompatibel med enheder, der bruger Linux ARM-arkitekturen. De kriminelle bag Bitxor20 Botnet kan have været aktive i næsten to måneder, og i denne periode har deres nyttelast gennemgået adskillige forbedringer.

Hvad kan Bitxor20 Botnet gøre?

Botnettet er specialiseret i at eksfiltrere følsomme data fra inficerede systemer, implementere rootkits og omdanne de inficerede netværk til proxy-servere. Rootkit-funktionaliteten er bestemt en interessant tilgang, da den ville gøre opdagelsen og fjernelsen af Bitxor20 Botnet meget mere udfordrende. Desuden er der ikke mange rootkits, der er kompatible med Linux-systemer.

En anden cool fordel ved Bitxor20 Botnet er dets evne til at overføre data mellem offeret og Command-and-Control-serveren via DNS-protokollen. Selvom dette begrænser mængden af information, det kan overføre, gør det de kriminelle i stand til nemt at skjule den ondsindede trafik med en legitim. Firewalltjenester har desuden en tendens til at være langt mere afslappede, når det kommer til filtrering af DNS-anmodninger – hvilket giver Bitxor20 Botnet en fordel, når det kommer til at omgå firewall-forsvar.

Mens de fleste botnets udnytter Log4J-sårbarheden, der er specialiseret i Distributed-Denial-of-Service (DDoS)-angreb eller cryptocurrency-mining, har Bitxor20 Botnet sigtet et andet sted. Det er overflødigt at sige, at det er en usædvanlig farlig trussel, som bør stoppes for enhver pris. Brug af opdaterede Linux-sikkerheds- og firewallværktøjer samt anvendelse af de seneste firmwareopdateringer og softwarepatches er en fantastisk måde at afbøde malwareangreb af denne slags.