Ботнет Bitxor20

Ботнет Bitxor20 Описание

Специалисты по кибербезопасности обнаружили новый ботнет, использующий уязвимость Log4J. Угроза отслеживается как ботнет Bitxor20, и его основными целями являются системы Linux. После добавления в ботнет скомпрометированные устройства могут выполнять широкий список угрожающих функций. Действительно, согласно отчету Исследовательской лаборатории сетевой безопасности Qihoo 360 (360 Netlab), Bitxor20 собирает конфиденциальную информацию, развертывает руткиты, открывает обратные оболочки и устанавливает веб-прокси.

Чтобы оставаться незамеченной, угроза использует проверенный метод туннелирования DNS. Во-первых, вся захваченная информация, результаты команд или другие необходимые данные шифруются с помощью специальных методов кодирования. Затем он доставляется на командно-контрольный (C2, C&C) сервер операции в виде DNS-запроса. В ответ сервер C2 возвращает выбранную полезную нагрузку на бот-устройство. Следует отметить, что некоторые угрожающие функции, которые были обнаружены как часть Bitxor20, были включены создателями вредоносного ПО. Этот факт может сигнализировать о том, что угроза все еще находится в стадии активной разработки и может стать еще более мощной в будущем.