Botnet Bitxor20

Odborníci na kybernetickou bezpečnost zachytili nový botnet využívající zranitelnost Log4J. Hrozba je sledována jako botnet Bitxor20 a jejím hlavním cílem jsou systémy Linux. Po přidání do botnetu lze kompromitovaným zařízením přikázat, aby provedla velký seznam ohrožujících funkcí. Podle zprávy výzkumné laboratoře síťové bezpečnosti Qihoo 360 (360 Netlab) Bitxor20 shromažďuje citlivé informace, nasazuje rootkity, otevírá reverzní shelly a zakládá webové proxy.

Aby hrozba zůstala neviditelná, používá osvědčenou metodu tunelování DNS. Za prvé, všechny zachycené informace, výsledky příkazů nebo jiná potřebná data jsou zašifrována pomocí specifických technik kódování. Poté je doručena na server Command-and-Control (C2, C&C) operace jako požadavek DNS. V reakci na to server C2 vrátí vybrané užitečné zatížení do zařízení bota. Je třeba poznamenat, že některé ohrožující funkce, které byly objeveny jako součást Bitxor20, byly povoleny tvůrci malwaru. Tato skutečnost by mohla signalizovat, že hrozba se stále aktivně vyvíjí a v budoucnu by mohla být ještě silnější.