Bitxor20 Botnet

Cybersecurity-experts hebben een nieuw botnet ontdekt dat misbruik maakt van de Log4J-kwetsbaarheid. De dreiging wordt gevolgd als het Bitxor20-botnet en de belangrijkste doelen zijn Linux-systemen. Eenmaal toegevoegd aan het botnet, kunnen de gecompromitteerde apparaten worden opgedragen om een grote lijst met bedreigende functies uit te voeren. Volgens een rapport van Qihoo 360's Network Security Research Lab (360 Netlab), verzamelt Bitxor20 inderdaad gevoelige informatie, implementeert rootkits, opent reverse shells en stelt webproxy's in.

Om ongezien te blijven, gebruikt de dreiging de beproefde methode van DNS-tunneling. Ten eerste wordt alle vastgelegde informatie, opdrachtresultaten of andere benodigde gegevens versleuteld via specifieke coderingstechnieken. Vervolgens wordt het als DNS-verzoek afgeleverd bij de Command-and-Control (C2, C&C)-server van de operatie. Als reactie stuurt de C2-server een gekozen payload terug naar het botapparaat. Opgemerkt moet worden dat bepaalde bedreigende functies die zijn ontdekt als onderdeel van Bitxor20, zijn ingeschakeld door de makers van de malware. Dit feit zou erop kunnen wijzen dat de dreiging nog volop in ontwikkeling is en in de toekomst nog krachtiger kan worden.