Bitxor20 Botnet misbruker Log4J-sårbarheten

Log4J-sårbarheten har gjort det mulig for dusinvis av nettkriminelle å raskt utvide rekkevidden, og forsterke effektiviteten til angrepene deres. En av skadevarefamiliene som har fløy under radaren så langt, har vært Bitxor20 Botnet. Denne skadelige programvaren er kompatibel med enheter som bruker Linux ARM-arkitekturen. De kriminelle bak Bitxor20 Botnet kan ha vært aktive i nesten to måneder, og i løpet av denne perioden har nyttelasten deres gjennomgått en rekke forbedringer.

Hva kan Bitxor20 Botnet gjøre?

Botnettet spesialiserer seg på å eksfiltrere sensitive data fra infiserte systemer, distribuere rootkits og gjøre de infiserte nettverkene om til proxy-servere. Rootkit-funksjonaliteten er absolutt en interessant tilnærming siden det ville gjøre oppdagelsen og fjerningen av Bitxor20 Botnet mye mer utfordrende. Dessuten er det ikke mange rootkits som er kompatible med Linux-systemer.

En annen kul fordel med Bitxor20 Botnet er dens evne til å overføre data mellom offeret og Command-and-Control-serveren via DNS-protokollen. Selv om dette begrenser mengden informasjon den kan overføre, gjør det det mulig for kriminelle å enkelt skjule den ondsinnede trafikken med en legitim. Videre har brannmurtjenester en tendens til å være langt mer avslappede når det gjelder filtrering av DNS-forespørsler – noe som gir Bitxor20 Botnet en fordel når det gjelder å omgå brannmurforsvar.

Mens de fleste botnett utnytter Log4J-sårbarheten som spesialiserer seg på DDoS-angrep (Distributed-Denial-of-Service) eller utvinning av kryptovaluta, har Bitxor20 Botnet sikte på andre steder. Det er unødvendig å si at det er en usedvanlig farlig trussel som bør stoppes for enhver pris. Å bruke oppdaterte Linux-sikkerhets- og brannmurverktøy, samt å bruke de nyeste fastvareoppdateringene og programvareoppdateringene er en fin måte å redusere skadevareangrep av denne typen.