Вредонос оснащен функциями бэкдора, прокси SOCKS5, загрузки вредоносного ПО, кражи данных, выполнения команд и установки руткита.
Недавно обнаруженный и активно набирающий обороты ботнет атакует Linux-устройства с целью создания целой армии ботов, готовых похищать информацию, устанавливать руткиты, создавать обратные оболочки и выполнять функции прокси.
Новый вредонос, названный B1txor20 обнаружившими его специалистами Qihoo 360 Network Security Research Lab (360 Netlab), атакует Linux-устройства с архитектурами ARM, х64.
Ботнет начал эксплуатировать уязвимость в утилите журналирования Log4J под названием Log4Shell . Исследователи впервые обнаружили его 9 февраля 2022 года, когда вредонос попал в один из их ханипотов. В общей сложности специалисты «поймали» четыре образца вредоносного ПО с бэкдором и прокси SOCKS5, а также с функциями загрузки вредоносного ПО, кражи данных, выполнения произвольных команд и установки руткита.
От других ботнетов B1txor20 отличается тем, что для связи с C&C-сервером он использует DNS-туннелирование – старый, но надежный способ использования протокола DNS для туннелирования вредоносного ПО и данных через DNS-запросы.
Хотя вредонос оснащен широким набором функций, не все они активированы. Скорее всего, неактивные функции пока работают с ошибками, и разработчики все еще их улучшают.
С момента раскрытия уязвимости Log4Shell все больше хакеров стали эксплуатировать ее в своих атаках, в том числе группы, связанные с правительствами Китая , Ирана , КНДР и Турции. В декабре прошлого года специалисты обнаружили , что уязвимость стала использоваться для заражения Linux-устройств вредоносным ПО Mirai и Muhstik. Эти ботнеты атаковали IoT-устройства и серверы для установки на них майнеров криптовалюты и осуществления DDoS-атак.
Источник: securitylab