Bitxor20 Botnet

Un nouveau botnet exploitant la vulnérabilité Log4J a été intercepté par des experts en cybersécurité. La menace est suivie comme le botnet Bitxor20 et ses principales cibles sont les systèmes Linux. Une fois ajoutés au botnet, les appareils compromis peuvent être commandés pour exécuter une longue liste de fonctions menaçantes. En effet, selon un rapport du Network Security Research Lab (360 Netlab) de Qihoo 360, Bitxor20 collecte des informations sensibles, déploie des rootkits, ouvre des reverse shells et établit des proxys Web.

Pour rester invisible, la menace utilise la méthode éprouvée du tunneling DNS. Tout d'abord, toutes les informations capturées, les résultats de commande ou d'autres données nécessaires sont cryptées via des techniques de codage spécifiques. Ensuite, il est livré au serveur de commande et de contrôle (C2, C&C) de l'opération en tant que requête DNS. En réponse, le serveur C2 renvoie une charge utile choisie au dispositif bot. Il convient de noter que certaines fonctionnalités menaçantes qui ont été découvertes dans le cadre de Bitxor20 ont été activées par les créateurs du malware. Ce fait pourrait signaler que la menace est toujours en cours de développement actif et pourrait devenir encore plus puissante à l'avenir.