A Bitxor20 botnet visszaél a Log4J sebezhetőségével

A Log4J sebezhetősége több tucat kiberbűnözők számára tette lehetővé, hogy gyorsan bővítsék hatókörüket, és fokozzák támadásaik hatékonyságát. Az egyik rosszindulatú programcsalád, amely eddig a radar alatt repült, a Bitxor20 Botnet volt. Ez a kártevő kompatibilis a Linux ARM architektúrát használó eszközökkel. A Bitxor20 Botnet mögött álló bûnözõk közel két hónapja tevékenykedhettek, és ez alatt az idõszak alatt a rakományuk számos fejlesztésen ment keresztül.

Mire képes a Bitxor20 botnet?

A botnet a fertőzött rendszerekből származó érzékeny adatok kiszűrésére, rootkitek telepítésére és a fertőzött hálózatok proxyszerverekké alakítására specializálódott. A rootkit funkció minden bizonnyal érdekes megközelítés, mivel sokkal nagyobb kihívást jelentene a Bitxor20 Botnet felfedezése és eltávolítása. Ezenkívül nem sok rootkit kompatibilis a Linux rendszerekkel.

A Bitxor20 Botnet másik nagyszerű előnye, hogy a DNS-protokollon keresztül képes adatokat továbbítani az áldozat és a Command-and-Control szerver között. Noha ez korlátozza az átadható információk mennyiségét, lehetővé teszi a bűnözők számára, hogy a rosszindulatú forgalmat egy legális adatforgalommal könnyen elrejtsék. Ezenkívül a tűzfalszolgáltatások általában sokkal lazábbak a DNS-kérelmek szűrésében – így a Bitxor20 Botnet előnyt jelent a tűzfal védelmének megkerülésében.

Míg a Log4J sebezhetőségét kihasználó botnetek többsége az elosztott szolgáltatásmegtagadási (DDoS) támadásokra vagy a kriptovaluta bányászatára specializálódott, a Bitxor20 botnet máshol céloz. Mondanunk sem kell, hogy ez egy rendkívül veszélyes fenyegetés, amelyet bármi áron meg kell állítani. A naprakész Linux biztonsági és tűzfaleszközök használata, valamint a legújabb firmware-frissítések és szoftverjavítások alkalmazása nagyszerű módja az ilyen típusú rosszindulatú programok elleni támadások mérséklésének.