Bitxor20 Botnet missbrukar log4J-sårbarheten

Log4J-sårbarheten har gjort det möjligt för dussintals cyberbrottslingar att snabbt utöka sin räckvidd och förstärka effektiviteten i sina attacker. En av skadliga programfamiljer som hittills flög under radarn har varit Bitxor20 Botnet. Denna skadliga programvara är kompatibel med enheter som använder Linux ARM-arkitekturen. Brottslingarna bakom Bitxor20 Botnet kan ha varit aktiva i nästan två månader, och under denna period har deras nyttolast genomgått många förbättringar.

Vad kan Bitxor20 Botnet göra?

Botnätet är specialiserat på att exfiltrera känslig data från infekterade system, distribuera rootkits och förvandla de infekterade nätverken till proxyservrar. Rootkit-funktionaliteten är verkligen ett intressant tillvägagångssätt eftersom det skulle göra upptäckten och avlägsnandet av Bitxor20 Botnet mycket mer utmanande. Dessutom finns det inte många rootkits som är kompatibla med Linux-system.

En annan cool fördel med Bitxor20 Botnet är dess förmåga att överföra data mellan offret och Command-and-Control-servern via DNS-protokollet. Även om detta begränsar mängden information den kan överföra, gör det det möjligt för brottslingarna att enkelt dölja den skadliga trafiken med en legitim. Brandväggstjänster tenderar dessutom att vara mycket mer avslappnade när det gäller att filtrera DNS-förfrågningar – vilket ger Bitxor20 Botnet en fördel när det gäller att kringgå brandväggsförsvar.

Medan de flesta botnät utnyttjar Log4J-sårbarheten specialiserade på DDoS-attacker (Distributed-Denial-of-Service) eller brytning av kryptovaluta, har Bitxor20 Botnet siktet inställt på andra håll. Det behöver inte sägas att det är ett exceptionellt farligt hot som bör stoppas till varje pris. Att använda uppdaterade Linux-säkerhets- och brandväggsverktyg, samt att tillämpa de senaste firmware-uppdateringarna och programvarukorrigeringarna är ett utmärkt sätt att lindra attacker med skadlig programvara av detta slag.