Os ataques ao Linux chegaram para ficar. Um botnet recentemente descoberto em desenvolvimento ativo tem como alvo os sistemas Linux. Esse botnet tenta prender os sistemas por meio de um verdadeiro exército de bots prontos para roubar informações confidenciais, instalar rootkits, criar shells reversos e atuar como proxies de tráfego da web.
O malware recém-descoberto recebeu o apelido de B1txor20 por pesquisadores do Laboratório de Pesquisa de Segurança de Rede do Qihoo 360 (360 Netlab). Ele concentra seus ataques em dispositivos de arquitetura de CPU Linux ARM, X64.
O botnet usa exploits direcionados à vulnerabilidade Log4J para infectar novos hosts, um vetor de ataque muito atraente, visto que dezenas de fornecedores usam a biblioteca de log Apache Log4j vulnerável.
Os pesquisadores identificaram o botnet B1txor20 pela primeira vez em 9 de fevereiro, quando a primeira amostra ficou presa em um de seus sistemas honeypot.
Ao todo, eles capturaram um total de quatro amostras de malware, com backdoor, proxy SOCKS5, download de malware, roubo de dados, execução de comandos arbitrários e funcionalidade de instalação de rootkit.
Tunelamento DNS usado para ocultar o tráfego de comunicações C2
No entanto, o que destaca o malware B1txor20 é o uso de tunelamento DNS para canais de comunicação com o servidor de comando e controle (C2), uma técnica antiga, mas ainda confiável, usada por agentes de ameaças para explorar o protocolo DNS para encapsular malware e dados por meio de consultas DNS.
O bot envia as informações confidenciais roubadas, resultados de execução de comandos e qualquer outra informação que precise ser entregue, depois de ocultá-la usando técnicas de codificação específicas, para C2 como uma solicitação de DNS, explicaram os pesquisadores.
Depois de receber a solicitação, C2 envia a carga útil para o lado do Bot como resposta à solicitação de DNS. Dessa forma, Bot e C2 conseguem comunicação com a ajuda do protocolo DNS.
Malware não tem todos os recursos habilitados
Os pesquisadores do 360 Netlab também descobriram que, embora os desenvolvedores do malware incluíssem um conjunto mais amplo de recursos, nem todos eles estão habilitados.
Este é provavelmente um sinal de que os recursos desativados ainda estão com bugs, e os criadores do B1txor20 ainda estão trabalhando para melhorá-los e ativá-los no futuro.
Informações adicionais, incluindo indicadores de comprometimento (IOCs) e uma lista de todas as instruções C2 suportadas, podem ser encontradas no final do relatório 360 Netlab .
Exploração contínua do Log4J por botnets
Desde sua divulgação, vários atores de ameaças implantaram explorações do Log4Shell em seus ataques, incluindo grupos de hackers apoiados pelo Estado ligados a governos na China, Irã, Coreia do Norte e Turquia, e como agentes de acesso usados por gangues de ransomware.
“Desde que a vulnerabilidade do Log4J foi exposta, vemos mais e mais malwares saltando no vagão, Elknot, Gafgyt, Mirai são muito familiares”, acrescentaram 360 pesquisadores do Netlab.
Por exemplo, em dezembro, eles detectaram agentes de ameaças explorando a falha de segurança Log4J para infectar dispositivos Linux vulneráveis com malware Mirai e Muhstik Linux.
Esses botnets foram vistos “recrutando” dispositivos e servidores de IoT e usando-os para implantar mineradores de criptografia e realizar ataques DDoS em larga escala.
A Barracuda confirmou o relatório do 360 Netlan no início deste mês, dizendo que eles identificaram várias cargas úteis visando implantações vulneráveis do Log4j, com variantes de botnet Mirai aproveitadas para DDoS e criptomineração tomando a maior parte.
Via BleepingComputer
