Bitxor20 Botnet

Ett nytt botnät som utnyttjar Log4J-sårbarheten har fångats av cybersäkerhetsexperter. Hotet spåras som Bitxor20-botnätet och dess främsta mål är Linux-system. När de väl har lagts till i botnätet kan de komprometterade enheterna beordras att utföra en stor lista med hotfulla funktioner. I själva verket, enligt en rapport från Qihoo 360:s Network Security Research Lab (360 Netlab), samlar Bitxor20 in känslig information, distribuerar rootkits, öppnar omvända skal och etablerar webbproxyer.

För att förbli osedd använder hotet den beprövade metoden för DNS-tunnling. För det första krypteras all infångad information, kommandoresultat eller annan nödvändig data via specifika kodningstekniker. Sedan levereras den till kommando-och-kontroll-servern (C2, C&C) för operationen som en DNS-begäran. Som svar returnerar C2-servern en vald nyttolast till bot-enheten. Det bör noteras att vissa hotfulla funktioner som har upptäckts som en del av Bitxor20 har aktiverats av skadlig programvaras skapare. Detta faktum kan signalera att hotet fortfarande är under aktiv utveckling och kan bli ännu mer potent i framtiden.