Ботнет Bitxor20 злоупотребляет уязвимостью Log4J

Уязвимость Log4J позволила десяткам киберпреступников быстро расширить свои возможности и повысить эффективность своих атак. Одним из семейств вредоносных программ, которые до сих пор оставались незамеченными, был ботнет Bitxor20. Это вредоносное ПО совместимо с устройствами, использующими архитектуру Linux ARM. Преступники, стоящие за ботнетом Bitxor20, возможно, были активны в течение почти двух месяцев, и за этот период их полезная нагрузка претерпела многочисленные улучшения.

Что может сделать ботнет Bitxor20?

Ботнет специализируется на извлечении конфиденциальных данных из зараженных систем, развертывании руткитов и превращении зараженных сетей в прокси-серверы. Функциональность руткита, безусловно, является интересным подходом, поскольку он значительно усложнит обнаружение и удаление ботнета Bitxor20. Кроме того, существует не так много руткитов, совместимых с системами Linux.

Еще одним интересным преимуществом ботнета Bitxor20 является его способность передавать данные между жертвой и сервером управления по протоколу DNS. Хотя это ограничивает объем информации, которую он может передавать, это позволяет преступникам легко скрывать вредоносный трафик с помощью законного. Кроме того, службы брандмауэра, как правило, гораздо более расслаблены, когда речь идет о фильтрации DNS-запросов, что дает ботнету Bitxor20 преимущество, когда речь идет об обходе защиты брандмауэра.

В то время как большинство ботнетов, использующих уязвимость Log4J, специализируются на атаках распределенного отказа в обслуживании (DDoS) или майнинге криптовалюты, ботнет Bitxor20 нацелен на что-то другое. Излишне говорить, что это исключительно опасная угроза, которую следует остановить любой ценой. Использование современных инструментов безопасности и брандмауэра Linux, а также применение последних обновлений прошивки и программных исправлений — отличный способ смягчить атаки вредоносных программ такого рода.