Botnet Bitxor20 wykorzystuje lukę w zabezpieczeniach Log4J

Luka Log4J umożliwiła dziesiątkom cyberprzestępców szybkie zwiększenie zasięgu i zwiększenie skuteczności ataków. Jedną z rodzin szkodliwego oprogramowania, które do tej pory nie były objęte radarem, był botnet Bitxor20. To złośliwe oprogramowanie jest kompatybilne z urządzeniami wykorzystującymi architekturę Linux ARM. Przestępcy stojący za botnetem Bitxor20 mogli być aktywni przez prawie dwa miesiące i w tym okresie ich ładunek przeszedł liczne ulepszenia.

Co może zrobić botnet Bitxor20?

Botnet specjalizuje się w wydobywaniu wrażliwych danych z zainfekowanych systemów, wdrażaniu rootkitów i przekształcaniu zainfekowanych sieci w serwery proxy. Funkcjonalność rootkita jest z pewnością interesującym podejściem, ponieważ znacznie utrudniłaby odkrycie i usunięcie botnetu Bitxor20. Co więcej, nie ma wielu rootkitów kompatybilnych z systemami Linux.

Kolejną fajną zaletą botnetu Bitxor20 jest jego zdolność do przesyłania danych między ofiarą a serwerem Command-and-Control za pośrednictwem protokołu DNS. Chociaż ogranicza to ilość przesyłanych informacji, umożliwia przestępcom łatwe ukrycie złośliwego ruchu za pomocą legalnego. Co więcej, usługi zapory są zwykle znacznie bardziej zrelaksowane, jeśli chodzi o filtrowanie żądań DNS – dając Bitxor20 Botnet przewagę, jeśli chodzi o omijanie zabezpieczeń zapory.

Podczas gdy większość botnetów wykorzystujących lukę Log4J specjalizuje się w atakach typu Distributed-Denial-of-Service (DDoS) lub kopaniu kryptowalut, botnet Bitxor20 ma swój cel w innym miejscu. Nie trzeba dodawać, że jest to wyjątkowo niebezpieczne zagrożenie, które należy za wszelką cenę powstrzymać. Korzystanie z aktualnych narzędzi zabezpieczeń i zapory systemu Linux, a także stosowanie najnowszych aktualizacji oprogramowania układowego i poprawek oprogramowania to świetny sposób na ograniczenie tego rodzaju ataków złośliwego oprogramowania.