Bitxor20 Botnet

Bitxor20 Botnet Descrizione

Una nuova botnet che sfrutta la vulnerabilità di Log4J è stata rilevata da esperti di sicurezza informatica. La minaccia è tracciata come la botnet Bitxor20 e i suoi obiettivi principali sono i sistemi Linux. Una volta aggiunti alla botnet, è possibile comandare ai dispositivi compromessi di eseguire un ampio elenco di funzioni minacciose. Infatti, secondo un rapporto del Network Security Research Lab (360 Netlab) di Qihoo 360, Bitxor20 raccoglie informazioni sensibili, distribuisce rootkit, apre shell inverse e stabilisce proxy Web.

Per rimanere invisibile, la minaccia utilizza il metodo collaudato del tunneling DNS. Innanzitutto, tutte le informazioni acquisite, i risultati dei comandi o altri dati necessari vengono crittografati tramite tecniche di codifica specifiche. Quindi, viene consegnato al server Command-and-Control (C2, C&C) dell'operazione come richiesta DNS. In risposta, il server C2 restituisce un payload scelto al dispositivo bot. Va notato che alcune funzionalità minacciose che sono state scoperte come parte di Bitxor20 sono state abilitate dai creatori del malware. Questo fatto potrebbe segnalare che la minaccia è ancora in fase di sviluppo attivo e potrebbe diventare ancora più potente in futuro.